Pemerintah AS pada hari Selasa membuka dakwaan terhadap warga negara Tiongkok karena diduga membobol ribuan perangkat firewall Sophos secara global pada tahun 2020.
Guan Tianfeng (alias gbigmao dan gxiaomao), yang dikatakan bekerja di Sichuan Silence Information Technology Company, Limited, telah didakwa melakukan konspirasi untuk melakukan penipuan komputer dan konspirasi untuk melakukan penipuan kawat. Guan dituduh mengembangkan dan menguji kerentanan keamanan zero-day yang digunakan untuk melakukan serangan terhadap firewall Sophos.
“Guan Tianfeng dicari karena dugaan perannya dalam berkonspirasi untuk mengakses firewall Sophos tanpa izin, menyebabkan kerusakan pada firewall tersebut, dan mengambil serta mengambil data dari firewall itu sendiri dan komputer di balik firewall ini,” Biro Investigasi Federal AS (FBI) dikatakan. “Eksploitasi tersebut digunakan untuk menyusup ke sekitar 81.000 firewall.”
Kerentanan zero-day yang dimaksud adalah CVE-2020-12271 (skor CVSS: 9.8), sebuah kelemahan injeksi SQL parah yang dapat dieksploitasi oleh pelaku jahat untuk mencapai eksekusi kode jarak jauh pada firewall Sophos yang rentan.
Dalam serangkaian laporan yang diterbitkan pada akhir Oktober 2024 dengan nama Pacific Rim, Sophos mengungkapkan bahwa mereka telah menerima laporan bug bounty yang “sangat membantu sekaligus mencurigakan” tentang kelemahan tersebut pada bulan April 2020 dari para peneliti yang terkait dengan Double Helix Research Institute di Sichuan Silence. satu hari setelah itu dieksploitasi dalam serangan dunia nyata untuk mencuri data sensitif menggunakan trojan Asnarök, termasuk nama pengguna dan kata sandi.
Hal ini terjadi untuk kedua kalinya pada bulan Maret 2022 ketika perusahaan menerima laporan lain dari peneliti anonim yang berbasis di Tiongkok yang merinci dua kelemahan terpisah: CVE-2022-1040 (skor CVSS: 9.8), sebuah kelemahan bypass otentikasi penting di firewall Sophos yang memungkinkan a penyerang jarak jauh untuk mengeksekusi kode arbitrer, dan CVE-2022-1292 (skor CVSS: 9.8), bug injeksi perintah di OpenSSL The in-the-wild eksploitasi CVE-2022-1040 telah diberi moniker Personal Panda.
“Guan dan rekan-rekan konspiratornya merancang malware tersebut untuk mencuri informasi dari firewall,” kata Departemen Kehakiman AS (DoJ). “Untuk menyembunyikan aktivitas mereka dengan lebih baik, Guan dan rekan konspiratornya mendaftarkan dan menggunakan domain yang dirancang agar terlihat seperti dikendalikan oleh Sophos, seperti sophosfirewallupdate[.]com.”
Pelaku ancaman kemudian memodifikasi malware mereka saat Sophos mulai melakukan tindakan penanggulangan, dengan menyebarkan varian ransomware Ragnarok jika korban berusaha menghapus artefak dari sistem Windows yang terinfeksi. Upaya ini tidak berhasil, kata DoJ.
Bersamaan dengan dakwaan tersebut, Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan AS telah menjatuhkan sanksi terhadap Sichuan Silence dan Guan, dengan menyatakan bahwa banyak dari korbannya adalah perusahaan infrastruktur penting AS.
Sichuan Silence telah dinilai sebagai kontraktor pemerintah keamanan siber yang berbasis di Chengdu yang menawarkan layanannya kepada badan intelijen Tiongkok, membekali mereka dengan kemampuan untuk melakukan eksploitasi jaringan, pemantauan email, peretasan kata sandi secara brute force, dan penindasan sentimen publik. Ia juga dikatakan menyediakan peralatan yang dirancang untuk menyelidiki dan mengeksploitasi router jaringan target kepada klien.
Pada bulan Desember 2021, Meta mengatakan telah menghapus 524 akun Facebook, 20 Halaman, empat Grup, dan 86 akun di Instagram yang terkait dengan Sichuan Silence yang menargetkan audiens berbahasa Inggris dan Tiongkok dengan disinformasi terkait COVID-19.
“Lebih dari 23.000 firewall yang disusupi berada di Amerika Serikat. Dari firewall tersebut, 36 diantaranya melindungi sistem perusahaan infrastruktur penting AS,” kata Departemen Keuangan. “Jika salah satu dari korban ini gagal memperbaiki sistem mereka untuk memitigasi eksploitasi, atau langkah-langkah keamanan siber tidak mengidentifikasi dan dengan cepat mengatasi gangguan tersebut, potensi dampak serangan ransomware Ragnarok dapat mengakibatkan cedera serius atau hilangnya nyawa manusia. “
Secara terpisah, Departemen Luar Negeri telah mengumumkan hadiah hingga $10 juta untuk informasi tentang Sichuan Silence, Guan, atau individu lain yang mungkin berpartisipasi dalam serangan dunia maya terhadap entitas infrastruktur penting AS di bawah arahan pemerintah asing.
“Skala dan kegigihan negara-bangsa Tiongkok menimbulkan ancaman signifikan terhadap infrastruktur penting, serta bisnis sehari-hari yang tidak menaruh curiga,” kata Ross McKerchar, kepala petugas keamanan informasi di Sophos, dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
“Tekad mereka yang tak henti-hentinya mendefinisikan ulang apa yang dimaksud dengan Ancaman Persisten Tingkat Lanjut; untuk menghentikan perubahan ini, diperlukan tindakan individu dan kolektif di seluruh industri, termasuk penegakan hukum. Kita tidak bisa mengharapkan kelompok-kelompok ini melambat, jika kita tidak mengambil tindakan. waktu dan upaya untuk berinovasi, dan ini termasuk transparansi awal mengenai kerentanan dan komitmen untuk mengembangkan perangkat lunak yang lebih kuat.”
