US-Regierung erhebt Anklage gegen chinesischen Hacker wegen Angriffen auf Sophos-Firewalls

WASHINGTON / MÜNCHEN (IT BOLTWISE) – Die US-Regierung hat Anklage gegen einen chinesischen Staatsbürger erhoben, der beschuldigt wird, weltweit in zehntausende Sophos-Firewall-Geräte eingebrochen zu sein.

Update vom 11.12.2024: Leider ist der Tenor des Artikels mit Aussagen wie „Laut FBI wurde diese Schwachstelle genutzt, um etwa 81.000 Firewalls zu infiltrieren und Daten zu exfiltrieren“ nicht ganz richtig, da die Firewalls zwar attackiert wurden, der Angriff aber abgewehrt werden konnte, wie auch im Artikel des US Departments of Justice (https://www.justice.gov/opa/pr/china-based-hacker-charged-conspiring-develop-and-deploy-malware-exploited-tens-thousands) beschrieben. Die Entdeckung und Abwehr des Angriffs trugen vielmehr maßgeblich dazu bei, die nun vorgenommenen Aktionen des FBI zu ermöglichen.

Die US-Regierung hat kürzlich Anklage gegen Guan Tianfeng erhoben, einen chinesischen Staatsbürger, der beschuldigt wird, im Jahr 2020 weltweit in Sophos-Firewall-Geräte eingebrochen zu sein. Guan, der angeblich für das Unternehmen Sichuan Silence Information Technology Company, Limited arbeitete, wird vorgeworfen, eine Zero-Day-Sicherheitslücke entwickelt und getestet zu haben, die für Angriffe auf Sophos-Firewalls genutzt wurde.

Die Sicherheitslücke, bekannt als CVE-2020-12271, ist eine schwerwiegende SQL-Injection-Schwachstelle, die es Angreifern ermöglicht, aus der Ferne Code auf anfälligen Sophos-Firewalls auszuführen. Laut FBI wurde diese Schwachstelle genutzt, um etwa 81.000 Firewalls zu infiltrieren und Daten zu exfiltrieren.

Im April 2020 erhielt Sophos einen Bericht über die Schwachstelle von Forschern des Double Helix Research Institute, das mit Sichuan Silence verbunden ist. Nur einen Tag später wurde die Schwachstelle in realen Angriffen ausgenutzt, um mit dem Asnarök-Trojaner sensible Daten wie Benutzernamen und Passwörter zu stehlen.

Im März 2022 wurde Sophos erneut von einem anonymen Forscher aus China über zwei weitere Schwachstellen informiert: CVE-2022-1040, eine kritische Authentifizierungsumgehung, und CVE-2022-1292, ein Befehlsinjektionsfehler in OpenSSL. Die Ausnutzung von CVE-2022-1040 wurde als Personal Panda bezeichnet.

Die Angreifer registrierten Domains, die den Anschein erweckten, von Sophos kontrolliert zu werden, um ihre Aktivitäten zu verschleiern. Als Sophos Gegenmaßnahmen ergriff, modifizierten die Angreifer ihre Malware und setzten eine Variante der Ragnarok-Ransomware ein, um Opfer zu treffen, die versuchten, die Malware zu entfernen.

Gleichzeitig mit der Anklage hat das US-Finanzministerium Sanktionen gegen Sichuan Silence und Guan verhängt, da viele der Opfer kritische Infrastrukturen in den USA betreiben. Sichuan Silence wird als ein in Chengdu ansässiger Auftragnehmer der Cybersicherheit beschrieben, der chinesische Geheimdienste unterstützt.

Die US-Regierung hat zudem Belohnungen von bis zu 10 Millionen US-Dollar für Informationen über Sichuan Silence, Guan oder andere Personen ausgeschrieben, die an Cyberangriffen auf US-Infrastrukturen beteiligt sind. Experten betonen die Bedrohung durch chinesische staatliche Akteure für kritische Infrastrukturen und fordern verstärkte Zusammenarbeit in der Branche, um diesen Bedrohungen entgegenzuwirken.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen