Un atto d’accusa federale ha accusato un cittadino cinese Guan Tianfeng con lo sfruttamento di una vulnerabilità zero-day nei firewall Sophos, che ha colpito circa 81.000 dispositivi in tutto il mondo nel 2020. Il Dipartimento di Giustizia degli Stati Uniti (DoJ) sostiene che Guan ha cospirato per distribuire malware che ha compromesso dati sensibili e si è infiltrato in infrastrutture critiche.
Cittadino cinese accusato di aver sfruttato le vulnerabilità del firewall Sophos
La vulnerabilità, classificata come CVE-2020-12271 e valutato con un punteggio CVSS elevato pari a 9,8, ha consentito l’accesso non autorizzato tramite difetti di SQL injection sui dispositivi firewall Sophos. In particolare, più di 23.000 firewall compromessi erano situati negli Stati Uniti, di cui 36 a servizio dei sistemi infrastrutturali critici statunitensi. Guan, conosciuto anche con gli alias gbigmao e gxiaomao, era impiegato presso la Sichuan Silence Information Technology Co., Ltd, una società che si ritiene avesse legami con il governo cinese.
Secondo l’accusa, Guan e i suoi cospiratori hanno progettato un malware per esfiltrare dati e interrompere la funzionalità del firewall. Il Dipartimento di Giustizia ha dichiarato: “Guan Tianfeng è ricercato per il suo presunto ruolo nel cospirare per accedere ai firewall di Sophos senza autorizzazione, danneggiarli e recuperare ed esfiltrare dati”. Le indagini sono in corso e l’FBI ha cercato l’assistenza pubblica per identificare le altre persone coinvolte negli attacchi.
Secondo quanto riferito, le attività di Guan includevano lo sfruttamento delle vulnerabilità per rubare informazioni e successivamente l’implementazione di una variante del ransomware, il malware Ragnarok, volto a crittografare i file delle vittime che tentavano di porre rimedio alle infezioni. L’intento di nascondere le loro attività prevedeva la registrazione di domini che imitavano Sophos, come sophosfirewallupdate.com.
Nel 2021, Sophos aveva già evidenziato la sofisticatezza delle minacce informatiche affrontate, indicando che numerosi incidenti erano stati perpetrati da gruppi APT (Advanced Persistent Threat) con una conoscenza significativa dei dispositivi Sophos. In seguito agli incidenti, Sophos ha implementato contromisure rapide che hanno contribuito a mitigare ulteriori exploit. “Se qualcuna di queste vittime non avesse installato patch sui propri sistemi… il potenziale impatto… avrebbe potuto provocare gravi lesioni o la perdita di vite umane”, ha affermato il Dipartimento del Tesoro degli Stati Uniti.
In risposta a queste minacce informatiche, il governo degli Stati Uniti ha imposto sanzioni sia contro Guan che contro Sichuan Silence, sottolineando che tali attività informatiche comportano rischi significativi sia per la sicurezza nazionale che per l’incolumità pubblica. L’accusa riflette uno sforzo più ampio per affrontare le sfide poste da attori informatici sponsorizzati da stati stranieri, in particolare quelli con sede in Cina.
Il Dipartimento di Stato americano ha inoltre offerto ricompense fino a 10 milioni di dollari per informazioni che consentano di identificare individui coinvolti in attività informatiche dannose contro le infrastrutture critiche degli Stati Uniti. Mentre le indagini continuano, i funzionari sottolineano la necessità di sforzi collaborativi nella sicurezza informatica per combattere la minaccia persistente da parte di attori stranieri.
Credito immagine in primo piano: Confronta Fibra/Unsplash
