Chińska cyberprzestępczość na celowniku: Ataki na firewall Sophos i zaangażowanie Guan Tianfenga
W ostatnich latach dynamiczny rozwój technologiczny przyniósł nie tylko pozytywne zmiany w naszym codziennym życiu, ale także wzrost zagrożeń związanych z cyberprzestępczością. Niedawno rząd USA oskarżył obywatela Chin, Guan Tianfenga, o zorganizowanie serii ataków na systemy zabezpieczeń firewall firmy Sophos na całym świecie w 2020 roku. Ta afera wywołała spory rezonans w środowisku cyberbezpieczeństwa, rzucając światło na nowe wyzwania w walce z zaawansowanymi zagrożeniami.
Atak na globalną skalę
Amerykańskie organy ścigania zarzucają Guan Tianfengowi, znanemu również jako „gbigmao” i „gxiaomao”, że stworzył i przetestował nową podatność typu zero-day, która umożliwiła atakowanie systemów Sophos. W wyniku tych działań zhakowano około 81 000 firewalli na całym świecie. Guan był pracownikiem chińskiej firmy Sichuan Silence Information Technology i, według FBI, odegrał kluczową rolę w łamaniu zabezpieczeń, kradzieży danych oraz sabotowaniu chronionych urządzeń, w tym komputerów komunikujących się z firewallami.
Podatność, znana jako CVE-2020-12271, została sklasyfikowana przez ekspertów jako krytyczna, z oceną CVSS na poziomie 9,8. Błąd, będący podatnością SQL injection, umożliwiał zdalne wykonywanie kodu na zaatakowanych urządzeniach. Co interesujące, podatność ta została zgłoszona dzień przed rozpoczęciem ataków, co sugeruje przemyślaną strategię działań przestępczych.
Zhakowane systemy i fałszywe domeny
Jak podaje Departament Sprawiedliwości USA, Guan działał wspólnie z innymi współspiskowcami, tworząc złośliwe oprogramowanie mające na celu wykradanie danych z systemów zabezpieczeń. Co więcej, przestępcy wykorzystywali fałszywe domeny internetowe symulujące oficjalne strony Sophos, takie jak „sophosfirewallupdate[.]com”. Dzięki tej metodzie udało się im omijać zabezpieczenia, a także wprowadzać w błąd administratorów systemów.
Pomimo wysiłków firmy Sophos w celu przeciwdziałania zagrożeniu, przestępcy stale modyfikowali swoje narzędzia, stosując m.in. wariant ransomware znany jako Ragnarok. Ataki te miały na celu uniemożliwienie ofiarom usuwania złośliwego oprogramowania, jednak te próby zakończyły się niepowodzeniem dzięki wdrożonym środkom ochronnym.
Chińskie ślady w cyberprzestępczości
Istnieją mocne dowody na to, że Sichuan Silence, firma, w której pracował Guan, była powiązana z chińskimi agencjami wywiadowczymi. Działania firmy obejmowały m.in. tworzenie narzędzi do eksploatacji luk w zabezpieczeniach sieciowych, monitorowania komunikacji e-mailowej, a także tłumienia opinii publicznej. Według U.S. Treasury Department wiele ofiar tych ataków znajdowało się w sektorze infrastruktury krytycznej w Stanach Zjednoczonych.
Meta, właściciel Facebooka i Instagrama, ogłosiła w grudniu 2021 roku, iż wykryła i usunęła setki kont powiązanych z Sichuan Silence, które były wykorzystywane do szerzenia dezinformacji w związku z COVID-19. Dzięki odkryciu udało się częściowo ograniczyć wpływy firmy na globalnym rynku informacyjnym.
Zagrożenia dla infrastruktury krytycznej
Atak na systemy Sophos pokazał, jak poważnym zagrożeniem są chińscy hakerzy sponsorowani przez państwo. Jednym z kluczowych problemów było wykorzystanie podatności CVE-2022-1040 oraz CVE-2022-1292, które umożliwiały przejęcie pełnej kontroli nad systemami ofiar. Eksperci zauważyli, że te ataki były częścią działań dwóch grup, znanych jako Personal Panda i TStark. Obie grupy, mimo pewnych różnic w sposobie działania, skupiły się na organizacjach związanych z Tybetem.
Urzędnicy USA ostrzegają, że brak odpowiednich działań mógłby doprowadzić do poważnych konsekwencji, takich jak przerwanie dostaw energii czy strat ludzkich. Rząd Stanów Zjednoczonych podjął zdecydowane kroki, nakładając sankcje na Guan Tianfenga i jego firmę, a także oferując nagrody do 10 milionów dolarów za informacje o przestępcach związanych z podobnymi atakami.
Wnioski i wezwanie do działania
Przypadek ataków na firewalle Sophos jest wyraźnym sygnałem, że świat technologii musi nieustannie adaptować się do rosnących zagrożeń. Ross McKerchar, dyrektor ds. bezpieczeństwa informacji w Sophos, podkreślił, że konieczne są współpraca i szybkie działania wszystkich podmiotów związanych z cyberbezpieczeństwem. Przejrzystość w raportowaniu podatności i tworzenie bardziej odpornych systemów to jedyna droga do skutecznego przeciwdziałania takim zagrożeniom.
W miarę jak globalna cyfryzacja postępuje, stawka rośnie. Wspólne wysiłki rządów, firm technologicznych i społeczności ekspertów mogą okazać się kluczowe w walce z zaawansowaną cyberprzestępczością. To nie tylko kwestia zabezpieczenia danych, ale także ochrony życia i funkcjonowania kluczowych systemów, które codziennie wspierają naszą rzeczywistość.
