ABD Hazine Bakanlığı, Çinli bir siber güvenlik şirketi olan Sichuan Silence’a ve çalışanlarından birine, Nisan 2020’de ABD’deki kritik altyapı şirketlerini ve dünya çapındaki diğer birçok kurbanı hedef alan bir dizi Ragnarok fidye yazılımı saldırısına katılmaları nedeniyle yaptırım uyguladı.
Bakanlığın Yabancı Varlıklar Kontrol Ofisi’ne (OFAC) göre Sichuan Silence, Çin’in istihbarat servisleri gibi çekirdek müşterilere ürün ve hizmetler sağlayan Chengdu merkezli bir siber güvenlik hükümet yüklenicisidir.
Şirketin hizmetleri arasında bilgisayar ağının kötüye kullanılması, kaba kuvvetle şifre kırma, e-posta izleme ve kamuoyunun duyarlılığının bastırılması yer alıyor.
OFAC, Nisan 2020 kampanyasında kullanılan sıfır günün, güvenlik araştırmacısı ve Sichuan Silence çalışanı Guan Tianfeng (GbigMao olarak da bilinir) tarafından isimsiz bir güvenlik duvarı ürününde keşfedildiğini söyledi.
Bugün yayınlanan bir basın bülteninde, “22 ve 25 Nisan 2020 tarihleri arasında Guan Tianfeng, bu sıfır gün istismarını dünya çapında binlerce işletmenin sahip olduğu yaklaşık 81.000 güvenlik duvarına kötü amaçlı yazılım dağıtmak için kullandı.”
“Bu istismarın amacı, kullanıcı adları ve şifreler de dahil olmak üzere verileri çalmak için ele geçirilen güvenlik duvarlarını kullanmaktı. Ancak Guan, kurbanların sistemlerine Ragnarok fidye yazılımının varyantını da bulaştırmaya çalıştı.”
Hedeflenen tüm cihazlardan 23.000’den fazla güvenlik duvarı ABD’de bulunuyordu ve 36’sı ABD’deki kritik altyapı şirketlerinin ağlarını koruyordu.
OFAC, kurbanlardan birinin sondaj operasyonlarına katılan bir ABD enerji şirketi olduğunu ve fidye yazılımı saldırıları engellenmeseydi saldırının önemli miktarda insan hayatına yol açabileceğini söyledi.
Salı günü, Adalet Bakanlığı (DOJ) da Guan hakkındaki iddianameyi açıkladı ve ABD Dışişleri Bakanlığı, Adalet İçin Ödül programı aracılığıyla Sichuan Sessizliği veya Guan hakkında bilgi verenlere 10 milyon dolara kadar ödül teklifini duyurdu.
Sophos XG güvenlik duvarının sıfır gün istismarı
Dışişleri Bakanlığı, Nisan 2020 Ragnarok fidye yazılımı kampanyasının Sophos XG güvenlik duvarlarındaki sıfır gün SQL enjeksiyon güvenlik açığından yararlandığını doğruladı.
Devlet, “2020 yılında Çin vatandaşı Guan Tianfeng ve Sichuan Silence’ın diğer çalışanları, kötü amaçlı yazılımları dağıtmadan önce, Birleşik Krallık merkezli siber güvenlik firması Sophos Ltd tarafından satılan belirli güvenlik duvarlarındaki sıfır gün güvenlik açığından yararlanmalarına olanak tanıyan izinsiz giriş teknikleri geliştirdi ve test etti.” Departman diyor.
“Dünya çapında kötü amaçlı yazılım dağıttılar, belirli Sophos güvenlik duvarlarına izinsiz erişime izin verdiler, onlara zarar verdiler ve hem güvenlik duvarlarından hem de bu güvenlik duvarlarının arkasındaki bilgisayarlardan veri alıp sızdırmalarına izin verdiler.”
Saldırganlar, başlangıçta Sophos XG güvenlik duvarlarında uzaktan kod yürütmek için sıfır gün açıklarından yararlandı ve Asnarök Truva Atı olarak bilinen kötü amaçlı bir araç setinin parçası olan ELF ikili dosyalarını ve komut dosyalarını yükledi.
Sophos saldırıları tespit ettikten sonra cihazlara yama uyguladı ve. bir düzeltme kullanarak kötü amaçlı komut dosyalarını kaldırdı. Ancak tehdit aktörleri, kurbanların ağlarındaki Windows makinelerine Ragnarok fidye yazılımı saldırısını tetikleyen bir ‘ölü adam anahtarını’ etkinleştirdi.
Bugünkü yaptırımlar sonucunda ABD kuruluşlarının ve vatandaşlarının Guan ve Sichuan Silence ile işlem yapması yasaklandı. Ayrıca kendilerine bağlı ABD merkezli tüm varlıklar dondurulacak ve onlarla işlem yapan ABD’li finans kurumları veya yabancı kuruluşlar da kendilerini cezalara maruz bırakacak.