Министерство финансов США наложило санкции на китайскую компанию по кибербезопасности SichuanSilence и одного из ее сотрудников за участие в серии атак с использованием программы-вымогателя Ragnarok в апреле 2020 года, нацеленной на американские компании критической инфраструктуры и множество других жертв по всему миру.
По данным Управления по контролю за иностранными активами (OFAC) Государственного департамента США, Sichuan Silent Information Technology Co., Ltd. является государственным подрядчиком в области кибербезопасности из Чэнду (о чем недавно сообщила команда NattoThoughts), который предоставляет продукты и услуги основным клиентам, включая китайские спецслужбы.
Услуги компании включают разработку компьютерных сетей, взлом паролей методом перебора, мониторинг электронной почты и подавление общественных настроений.
OFAC сообщило, что уязвимость нулевого дня, использованная в кампании в апреле 2020 года, была обнаружена в неназванном брандмауэре исследователем безопасности Гуань Тяньфэном (он же GbigMao), сотрудником Sichuan Silent Information Technology Co., Ltd.
В сегодняшнем пресс-релизе говорится: «В период с 22 по 25 апреля 2020 года GuanTianfeng воспользовался этой уязвимостью нулевого дня для развертывания вредоносного ПО примерно на 81 000 брандмауэров, принадлежащих тысячам предприятий по всему миру. Целью уязвимости было использование взломанных межсетевых экранов для кражи данных, включая имена пользователей и пароли. Однако Гуань также пытался заразить системы жертв вариантом программы-вымогателя Ragnarok».
Из всех скомпрометированных устройств более 2000 скомпрометированных межсетевых экранов находились в США, причем 36 из них защищали сети американских компаний, занимающихся критической инфраструктурой.
Во вторник Министерство юстиции США (DOJ) также объявило обвинительное заключение против Гуаня, а Государственный департамент США объявил о вознаграждении в размере до 10 миллионов долларов в рамках программы «Вознаграждения за правосудие» любому, кто предоставит информацию о «Сычуаньском молчании» или «Гуане».
Государственный департамент и департамент юстиции США подтвердили, что кампания по вымогательству Ragnarok в апреле 2020 года использовала уязвимость SQL-инъекции нулевого дня (CVE-2020-12271) в брандмауэре SophosXG.
Госдепартамент заявил: «В 2020 году гражданин Китая Гуань Тяньфэн и другие сотрудники Sichuan Silent Information Technology Co., Ltd. разработали и протестировали методы вторжения, а затем развернули вредоносное ПО, которое использовало уязвимости нулевого дня в некоторых межсетевых экранах, продаваемых британской компанией по кибербезопасности Sophos Ltd. самих брандмауэров и компьютеров, находящихся за этими брандмауэрами».
Злоумышленники первоначально воспользовались уязвимостью нулевого дня для удаленного выполнения кода на межсетевом экране SophosXG и установили двоичные файлы и скрипты ELF, которые были частью вредоносного набора инструментов под названием Asnarök Trojan.
После того как компания Sophos обнаружила атаку, она исправила устройство и использовала исправление для удаления вредоносного сценария. Однако злоумышленник активировал «выключатель мертвеца», который спровоцировал атаку программы-вымогателя Ragnarok на компьютеры Windows в сети жертвы.
В результате сегодняшних санкций организациям и гражданам США запрещено совершать сделки с этим юридическим и физическим лицом. Кроме того, любые связанные с ними активы США будут заморожены, а финансовые учреждения США или иностранные организации, которые проводят с ними транзакции, также будут подвергнуты штрафам.
В ноябре 2021 года компания Meta Company ликвидировала две хакерские сети, в том числе 524 аккаунта в Facebook и 86 аккаунтов в Instagram, связанных с Sichuan Silent Company. В то время Мета заявила, что эти учетные записи использовались для проведения пропагандистских кампаний, связанных с COVID-19, нацеленных на англоязычных пользователей в США и Великобритании, а также на китайскоязычных пользователей на Тайване, Гонконге и Тибете.