Uma acusação federal acusou um cidadão chinês Guan Tianfeng com a exploração de uma vulnerabilidade de dia zero nos firewalls Sophos, afetando aproximadamente 81.000 dispositivos em todo o mundo em 2020. O Departamento de Justiça dos EUA (DoJ) alega que Guan conspirou para implantar malware que comprometeu dados confidenciais e se infiltrou em infraestruturas críticas.
Cidadão chinês indiciado por explorar vulnerabilidades do firewall Sophos
A vulnerabilidade, classificada como CVE-2020-12271 e classificado com uma pontuação CVSS alta de 9,8, permitiu acesso não autorizado através de falhas de injeção de SQL em dispositivos de firewall Sophos. Notavelmente, mais de 23.000 dos firewalls comprometidos estavam localizados nos Estados Unidos, com 36 servindo sistemas de infraestrutura crítica dos EUA. Guan, também conhecido pelos pseudônimos gbigmao e gxiaomao, era funcionário da Sichuan Silence Information Technology Co., Ltd, uma empresa que se acredita ter ligações com o governo chinês.
De acordo com a acusação, Guan e seus co-conspiradores criaram malware para exfiltrar dados e interromper a funcionalidade do firewall. O DoJ declarou: “Guan Tianfeng é procurado por seu suposto papel em conspirar para acessar firewalls Sophos sem autorização, causar danos a eles e recuperar e exfiltrar dados”. As investigações estão em andamento e o FBI buscou assistência pública para identificar outras pessoas envolvidas nos ataques.
As atividades de Guan supostamente incluíam a exploração de vulnerabilidades para roubar informações e, posteriormente, a implantação de uma variante de ransomware, o malware Ragnarok, destinado a criptografar arquivos de vítimas que tentavam remediar as infecções. A intenção de ocultar suas atividades envolvia o registro de domínios que imitavam o Sophos, como sophosfirewallupdate.com.
Em 2021, a Sophos já tinha destacado a sofisticação das ameaças cibernéticas que enfrentava, indicando que numerosos incidentes foram perpetrados por grupos de ameaças persistentes avançadas (APT) com conhecimento significativo dos dispositivos Sophos. Após os incidentes, a Sophos implementou contramedidas rápidas que ajudaram a mitigar novas explorações. “Se alguma destas vítimas não tivesse conseguido corrigir os seus sistemas… o impacto potencial… poderia ter resultado em ferimentos graves ou na perda de vidas humanas”, afirmou o Departamento do Tesouro dos EUA.
Em resposta a estas ameaças cibernéticas, o governo dos EUA impôs sanções contra Guan e Sichuan Silence, enfatizando que tais atividades cibernéticas representam riscos significativos tanto para a segurança nacional como para a segurança pública. A acusação reflecte um esforço mais amplo para enfrentar os desafios colocados por intervenientes cibernéticos patrocinados por Estados estrangeiros, especialmente aqueles baseados na China.
O Departamento de Estado dos EUA também ofereceu recompensas de até 10 milhões de dólares por informações que levem à identificação de indivíduos envolvidos em atividades cibernéticas maliciosas contra infraestruturas críticas dos EUA. À medida que as investigações prosseguem, as autoridades enfatizam a necessidade de esforços colaborativos em matéria de segurança cibernética para combater a ameaça persistente de intervenientes estrangeiros.
Crédito da imagem em destaque: Comparar Fibra/Unsplash
