ABD Hazine Bakanlığı, Çinli siber güvenlik şirketi Sichuan Silence ve çalışanlarından birini, Nisan 2020'de ABD kritik altyapı şirketlerini ve diğer birçok kurbanı hedefleyen bir dizi Ragnarok fidye yazılımı saldırısına katılmaları için yaptırım uyguladı.
Bölümün Yabancı Varlık Kontrolü (OFAC) ofisine göre Sichuan Silence, Chingdu merkezli bir siber güvenlik hükümet yüklenicisidir (yakın zamanda Natto Düşünceler Ekibi tarafından profillendi), Çin'in istihbarat hizmetleri gibi çekirdek müşterilere ürün ve hizmetler sunmaktadır.
Şirketin hizmetleri arasında bilgisayar ağı sömürüsü, kaba kuvvet şifre çatlaması, e-posta izleme ve kamuya açık duygu baskılanması yer alıyor.
OFAC, Nisan 2020 kampanyasında kullanılan sıfır günün güvenlik araştırmacısı ve Sichuan Silence çalışanı Guan Tianfeng (Gbigmao olarak da bilinir) tarafından isimsiz bir güvenlik duvarı ürününde keşfedildiğini söyledi.
"22 ve 25 Nisan 2020 arasında Guan Tianfeng, bu sıfır gün istismarını, dünya çapında binlerce işletmenin sahip olduğu yaklaşık 81.000 güvenlik duvarına kötü amaçlı yazılım dağıtmak için kullandı."
Diyerek şöyle devam etti: "İstismarın amacı, kullanıcı adları ve şifreler de dahil olmak üzere verileri çalmak için tehlikeye atılan güvenlik duvarlarını kullanmaktı. Ancak Guan, kurbanların sistemlerini Ragnarok Ransomware varyantıyla bulaşmaya çalıştı."
Hedeflenen tüm cihazlardan 23.000'den fazla uzlaşmış güvenlik duvarı Amerika Birleşik Devletleri'ndeydi ve 36'sı ABD kritik altyapı şirketlerinin ağlarını koruyordu. OFAC, kurbanlardan birinin sondaj operasyonlarına katılan bir ABD enerji şirketi olduğunu ve fidye yazılımı saldırıları engellenmemiş olsaydı saldırının insan yaşamının önemli ölçüde kaybına yol açabileceğini söyledi.
Salı günü, Adalet Bakanlığı (DOJ) Guan hakkında bir iddianame de iyileştirdi ve ABD Dışişleri Bakanlığı, Adalet için Ödülleri programı aracılığıyla Sichuan Silence veya Guan hakkında bilgi için 10 milyon dolara kadar bir ödül teklifi duyurdu.
Dışişleri Bakanlığı ve DOJ, Nisan 2020 Ragnarok Ransomware kampanyasının Sophos XG güvenlik duvarlarında sıfır gün SQL enjeksiyon kırılganlığından (CVE-2020-12271) kullandığını doğruladı.
"2020'de Çin Ulusal Guan Tianfeng ve diğer Sichuan Silence çalışanları, İngiltere merkezli siber güvenlik firması Sophos Ltd tarafından satılan bazı güvenlik duvarlarında sıfır gün kırılganlıklarından yararlanmaya izin veren kötü amaçlı yazılımları dağıtmadan önce saldırı tekniklerini geliştirdi ve test etti." Departman diyor.
Diyerek şöyle devam etti: "Dünya çapında kötü amaçlı yazılımlar konuşlandırdılar, bazı Sophos güvenlik duvarlarına yetkilendirilmeden erişime izin verdiler, onlara zarar verdiler ve hem güvenlik duvarlarından hem de bu güvenlik duvarlarının arkasındaki bilgisayarlardan veri almalarına ve dışarı atmalarına izin verdiler."
Saldırganlar başlangıçta Sophos XG güvenlik duvarlarında uzaktan kod yürütme elde etmek için sıfır gün istismarlarını kullandılar ve Asnarök Truva olarak bilinen kötü amaçlı bir araç setinin bir kısmı elf ikili ve komut dosyaları kurdu.
Sophos saldırıları tespit ettikten sonra, cihazları yamaladı ve kötü amaçlı komut dosyalarını bir hotfix kullanarak kaldırdı. Bununla birlikte, tehdit aktörleri, kurban ağlarındaki Windows makinelerine Ragnarok fidye yazılımı saldırısını tetikleyecek bir 'ölü adam anahtarı' etkinleştirdi.
Diyerek şöyle devam etti: "Beş yıllık saldırı operasyonumuz boyunca, Pasifik Rim olarak adlandırdığımız bir operasyon olan Çin ulus-devlet rakiplerine karşı-faaliyetleri hakkında başarılı bir şekilde kritik zeka topladık. Özellikle, saldırganların istismar araştırmalarının çoğunu bağlayabildik. Çin'in Sichuan bölgesine, özellikle Sichuan Sessizlik Bilgi Teknolojisinin Çift Helix Araştırma Enstitüsü'ne gelişim,
"Buna ek olarak, Asnarok adını verdiğimiz bir saldırı dalgasını nötralize ettikten sonra, saldırılar ile takma ad Gbigmao tarafından geçen bir kişi arasındaki bağlantıları ortaya çıkardık. Bugün, Adalet Bakanlığı'nın Gbigmao, Guan Tianfeng iddianamesini ortaya çıkarmasından memnunuz. ve Hazine Sichuan sessizliğini yaptırdı.
Günümüzün yaptırımlarının bir sonucu olarak, ABD örgütleri ve vatandaşların Guan ve Sichuan sessizliği ile işlemlerde bulunmaları yasaktır. Ayrıca, kendilerine bağlı ABD merkezli herhangi bir varlık dondurulacak ve ABD finans kurumları veya onlarla işlem yapan yabancı kuruluşlar da kendilerini cezalara maruz bırakacaktır.
Kasım 2021'de Meta, Sichuan Silence ile bağlantılı 524 Facebook ve 86 Instagram hesabının iki ağını söktü. Meta, hesapların ABD ve İngiltere'deki İngilizce konuşmacıların yanı sıra Tayvan, Hong Kong ve Tibet'teki Çince konuşan izleyicileri bir Covid dezenformasyon kampanyasında hedeflemek için kullanıldığını söyledi.
Güncelleme 10 Aralık 15:07 EST: Sophos Ciso Ross McKerchar'dan açıklama eklendi.
İngiltere, Ransomware tarafından kullanılan Rus kara para aklama ağlarını bozar
Yakın zamanda yamalı böcekler kullanılarak 2.000'den fazla Palo Alto Güvenlik Duvarı saldırıya uğradı
Palo Alto Networks, saldırılarda kullanılan iki güvenlik duvarı sıfır gününü yamalar
Govt Network'teki Sophos Güvenlik Duvarı Hackinde Kullanılan Özel "Cugmy Keçi" Kötü Yazılım
Electica Enerji Tedarikçisi Siber Attack'in Arkasında Lynx Fidye Yazılımı
Kaynak: Bleeping Computer