联邦起诉书指控一名中国公民 关天峰 利用 Sophos 防火墙中的零日漏洞,到 2020 年将影响全球约 81,000 台设备。美国司法部 (DoJ) 声称 关密谋部署恶意软件,破坏敏感数据并渗透关键基础设施。
中国公民因利用 Sophos 防火墙漏洞被起诉
该漏洞,分类为 CVE-2020-12271 CVSS 评分高达 9.8,允许通过 Sophos 防火墙设备上的 SQL 注入缺陷进行未经授权的访问。值得注意的是,超过 23,000 个受感染的防火墙位于美国,其中 36 个为美国关键基础设施系统提供服务。关也化名“gbigmao”和“gxiaomao”,受雇于四川沉默信息技术有限公司,该公司据信与中国政府有联系。
根据起诉书,关及其同谋设计恶意软件来窃取数据并破坏防火墙功能。美国司法部表示,“关天峰因涉嫌密谋未经授权访问 Sophos 防火墙、对其造成损坏以及检索和泄露数据而被通缉。”调查仍在进行中,联邦调查局已寻求公众援助来识别参与袭击的其他人。
据报道,Guan 的活动包括利用漏洞窃取信息,随后部署勒索软件变体 Ragnarok 恶意软件,旨在对试图修复感染的受害者文件进行加密。隐藏其活动的目的涉及注册模仿 Sophos 的域,例如 sophosfirewallupdate.com。
2021 年,Sophos 已经强调了他们面临的网络威胁的复杂性,表明许多事件是由对 Sophos 设备有丰富了解的高级持续威胁 (APT) 组织实施的。事件发生后,Sophos 实施了快速对策,有助于减少进一步的攻击。美国财政部表示:“如果这些受害者中的任何一个未能修补他们的系统……潜在的影响……可能会导致严重伤害或人员伤亡。”
为了应对这些网络威胁,美国政府对管氏和四川沉默实施了制裁,强调此类网络活动对国家安全和公共安全构成重大风险。该起诉书反映了为应对外国国家支持的网络行为者(特别是总部位于中国的网络行为者)带来的挑战而做出的更广泛的努力。
美国国务院还悬赏高达 1000 万美元的奖励,奖励那些能够识别参与针对美国关键基础设施的恶意网络活动的个人的信息。随着调查的继续,官员们强调需要在网络安全方面开展合作,以应对来自外国行为者的持续威胁。
特色图片来源: 比较 Fiber/Unsplash
