米国財務省は、2020年4月に米国の重要インフラ企業や世界中の多数の被害者を標的にした一連のRagnarokランサムウェア攻撃に関与したとして、中国のサイバーセキュリティ企業SichuanSilenceとその従業員1名を制裁した。
米国国務省外国資産管理局(OFAC)によると、Sichuan Silent Information Technology Co., Ltd. は、成都を拠点とするサイバーセキュリティ政府の請負業者であり(最近 NattoThoughts チームが報告)、中国の情報機関を含む主要顧客に製品とサービスを提供しています。
同社のサービスには、コンピュータ ネットワークの開発、総当たりパスワード クラッキング、電子メールの監視、国民感情の抑圧などが含まれます。
OFACは、2020年4月のキャンペーンで使用されたゼロデイ脆弱性は、Sichuan Silent Information Technology Co., Ltd.の従業員であるセキュリティ研究者Guan Tianfeng(別名GbigMao)によって、名前のないファイアウォール製品で発見されたと述べた。
本日のプレス リリースで明らかになった内容は次のとおりです。「2020 年 4 月 22 日から 25 日にかけて、GuanTianfeng はこのゼロデイ脆弱性を悪用し、世界中の数千の企業が所有する約 81,000 のファイアウォールにマルウェアを展開しました。この脆弱性の目的は、侵害されたファイアウォールを悪用してユーザー名やパスワードを含むデータを盗むことでした。しかし、Guan はまた、被害者のシステムを Ragnarok で感染させようとしました。ランサムウェアの亜種。」
侵害されたすべてのデバイスのうち、2,000 台以上のファイアウォールが米国にあり、そのうち 36 台が米国の重要インフラ企業のネットワークを保護していました。
火曜日には、米国司法省(DOJ)もグアンに対する起訴を発表し、米国国務省は「正義への報酬」プログラムを通じて、四川省の沈黙またはグアンに関する情報を提供した人に最大1,000万ドルの報奨金を与えると発表した。
米国国務省と司法省は、2020 年 4 月の Ragnarok ランサムウェア キャンペーンが SophosXG ファイアウォールのゼロデイ SQL インジェクションの脆弱性 (CVE-2020-12271) を悪用したことを確認しました。
国務省は、「2020年、中国国籍のGuan Tianfeng氏とSichuan Silent Information Technology Co., Ltd.の他の従業員は、侵入技術を開発およびテストし、英国のサイバーセキュリティ企業Sophos Ltd.が販売する特定のファイアウォールのゼロデイ脆弱性を悪用するマルウェアを展開した。彼らはマルウェアを世界中に展開し、特定のSophosファイアウォールへの不正アクセスを許可し、ファイアウォールに損傷を与え、コンピュータからデータを取得および窃取できるようにした」と述べた。ファイアウォール自体、およびそれらのファイアウォールの背後にあるコンピュータから。」
攻撃者は当初、ゼロデイ脆弱性を悪用して SophosXG ファイアウォール上でリモート コードを実行し、Asnarök Trojan と呼ばれる悪意のあるツールキットの一部である ELF バイナリとスクリプトをインストールしました。
ソフォスは攻撃を検出した後、デバイスにパッチを適用し、ホットフィックスを使用して悪意のあるスクリプトを削除しました。しかし、攻撃者は「デッドマンズ スイッチ」を起動し、被害者のネットワーク内の Windows マシンに対して Ragnarok ランサムウェア攻撃を引き起こしました。
本日の制裁の結果、米国の組織や国民はこの団体や個人と取引することが禁止された。さらに、それらに関連する米国資産は凍結され、それらと取引を行う米国の金融機関や外国法人も罰則を受けることになる。
2021年11月、メタ・カンパニーは四川サイレント・カンパニーに関連する524のFacebookアカウントと86のInstagramアカウントを含む2つのハッカーネットワークを解体した。メタ氏は当時、これらのアカウントは米国と英国の英語圏ユーザーや台湾、香港、チベットの中国語圏ユーザーを対象とした新型コロナウイルス感染症関連のプロパガンダキャンペーンの実施に使用されたと述べた。