США ввели санкции против китайской компании по кибербезопасности из-за атаки с использованием вирусов-вымогателей в 2020 году

США ввели санкции против Sichuan Silence, китайской компании по кибербезопасности, которая участвовала в атаках с использованием программ-вымогателей на критически важную инфраструктуру в 2020 году. Одному из ее сотрудников, Гуаню Тяньфэну, также были предъявлены индивидуальные обвинения.

Гуан, исследователь безопасности, обнаружил уязвимость нулевого дня в продукте брандмауэра, разработанном британской фирмой безопасности Sophos. Он использовал уязвимость, обозначенную как CVE 2020-12271, с помощью атаки SQL-инъекции, которая извлекала и удаленно выполняла скрипт с вредоносного сервера. Гуан и его сообщники зарегистрировали законные домены сервера, такие как sophosfirewallupdate.com.

Этот скрипт, часть вредоносного инструментария троянца Asnarök, изначально был разработан для кражи данных, таких как имена пользователей и пароли, с брандмауэров и компьютеров за ними и отправки их на китайский IP-адрес. Если жертва пыталась перезагрузить свое устройство, автоматически устанавливался Ragnarok ransomware, отключающий антивирусное программное обеспечение и шифрующий каждое устройство Windows в сети.

Однако в течение двух дней после атаки Sophos развернула исправление для затронутых брандмауэров, которое не требовало перезагрузки и удалило все вредоносные скрипты. Затем Гуань модифицировал вредоносное ПО для установки вымогателя, когда оно обнаружило смягчение Sophos, но исправление помешало этому сработать.

Согласно ныне обнародованному обвинительному заключению в отношении Гуаня, его сообщники просмотрели информацию о патче Sophos на веб-сайте компании в мае 2020 года, а затем несколько дней спустя протестировали обновленную версию ее эксплойта.

Министерство финансов ввело санкции против компаний Sichuan Silence и Guan Tianfeng, что означает, что все их активы в США будут заблокированы, а организациям и частным лицам будет запрещено осуществлять с ними операции с денежными средствами, товарами или услугами.

«Сегодняшние действия подчеркивают нашу приверженность разоблачению этих вредоносных киберпреступлений, многие из которых представляют значительный риск для наших сообществ и наших граждан, и привлечению к ответственности лиц, стоящих за ними, за их схемы», — заявил в пресс-релизе Брэдли Т. Смит, исполняющий обязанности заместителя министра финансов по вопросам терроризма и финансовой разведки.

За информацию о Гуане или других спонсируемых государством кибератаках доступны вознаграждения до 10 миллионов долларов. Предполагается, что Гуан проживает в провинции Сычуань, Китай, хотя он также может ездить в Бангкок, Таиланд.

Десятки тысяч межсетевых экранов, используемых компаниями критической инфраструктуры, были скомпрометированы

В период с 22 по 25 апреля 2020 года было скомпрометировано около 81 000 межсетевых экранов Sophos XG, используемых глобальными компаниями. Более 23 000 из этих межсетевых экранов использовались организациями США, а 36 из них использовались для критической инфраструктуры.

Компрометация критической инфраструктуры — такой как коммунальные услуги, транспорт, телекоммуникации и центры обработки данных — может привести к масштабным сбоям, что делает ее главной целью для кибератак. Недавний отчет Malwarebytes показал, что сфера услуг больше всего страдает от программ-вымогателей, на долю которых приходится почти четверть глобальных атак.

SEE: 80% критически важных компаний национальной инфраструктуры столкнулись с нарушением безопасности электронной почты в прошлом году

Одной из жертв стала американская энергетическая компания, которая бурила нефтяные скважины, когда был запущен вирус-вымогатель Sichuan Silence. Управление по контролю за иностранными активами Министерства финансов США утверждает, что человеческие жизни могли быть потеряны, если бы атака привела к сбоям в работе нефтяных вышек.

Кто такая Сычуаньская тишина?

Sichuan Silence — это подрядчик по кибербезопасности из Чэнду, нанятый в основном китайскими разведывательными службами. Китай отрицал обвинения во взломе, выдвинутые США в прошлом, но его постоянно связывают с кибератаками в США.

В этом месяце Федеральное бюро расследований и Агентство по кибербезопасности и безопасности инфраструктуры выявили, что связанные с Китаем злоумышленники «скомпрометировали сети нескольких телекоммуникационных компаний».

SEE: ФБР подтверждает, что связанная с Китаем атака затронула 260 000 устройств

По данным Казначейства, Sichuan Silence предоставляет клиентам инструменты и услуги для взлома сетей, мониторинга электронной почты, взлома паролей методом подбора и эксплуатации сетевых маршрутизаторов. На веб-сайте организации также указано, что у нее есть продукты, которые могут сканировать зарубежные сети для получения разведывательной информации.

Устройство предварительного позиционирования — инструмент, который устанавливает вредоносный код в целевой сети для подготовки будущей кибератаки — было использовано Гуаном в апреле 2020 года и, как выяснилось, принадлежало Sichuan Silence. Злоумышленник также соревновался от имени своей компании в турнирах по кибербезопасности и публиковал эксплойты нулевого дня, которые он обнаружил на форумах, используя псевдоним «GbigMao».

В ноябре 2021 года Meta сообщила о ликвидации скоординированной кампании дезинформации, связанной с Sichuan Silence, которая ложно утверждала, что США вмешиваются в расследования Всемирной организации здравоохранения в отношении операций COVID-19. Дезинформация распространялась сотнями фейковых аккаунтов Facebook и Instagram и усиливалась китайскими государственными СМИ и связанными с правительством организациями.

«Масштабы и настойчивость китайских национальных государств-противников представляют значительную угрозу для критически важной инфраструктуры, а также для ничего не подозревающих повседневных предприятий, как отмечено в отчете Sophos о расследовании в Тихоокеанском регионе», — рассказал Росс Маккерчар, директор по информационной безопасности компании Sophos, в интервью TechRepublic.

«Их непреклонная решимость переосмысливает то, что значит быть передовой постоянной угрозой; чтобы остановить этот сдвиг, требуются индивидуальные и коллективные действия во всей отрасли, в том числе с участием правоохранительных органов.

«Мы не можем ожидать, что эти группы замедлятся, если мы не вложим время и усилия в то, чтобы превзойти их в плане инноваций, а это подразумевает раннюю прозрачность в отношении уязвимостей и обязательство разрабатывать более надежное программное обеспечение».

Число атак на критическую инфраструктуру растет

Атаки на критическую инфраструктуру становятся все более популярными. В конце 2023 года ФБР раскрыло широкомасштабную атаку ботнета китайской хакерской группы Volt Typhoon, созданную из сотен частных маршрутизаторов по всей территории США и ее заморских территорий.

Участники атаки нацелились на ИТ-среды коммуникаций, энергетики, транспорта и водной инфраструктуры США и скомпрометировали их. Volt Typhoon провел сотни атак на критическую инфраструктуру с момента своей активности в середине 2021 года.

СМ.: Почему критическая инфраструктура уязвима для кибератак

Другие заметные атаки на критически важную инфраструктуру последних лет включают инцидент с трубопроводом Colonial в 2021 году. Компания, отвечающая за 45% топлива Восточного побережья, включая газ, печное топливо и другие виды нефти, обнаружила, что подверглась атаке с целью получения выкупа, и была вынуждена отключить некоторые из своих систем, временно остановив все операции по трубопроводу.

Sandworm и филиалы организации Black Basta ransomware-as-a-service также нацелились на критическую инфраструктуру по всему миру. Обе фирмы связаны с Россией.

В мае CISA США и несколько международных киберорганов предупредили о пророссийских хактивистских атаках, нацеленных на поставщиков операционных технологий, часто используемых в критически важных отраслях. В сообщении подчеркивалась «продолжающаяся вредоносная киберактивность» против предприятий водоснабжения, энергетики, продовольствия и сельского хозяйства в период с 2022 по апрель 2024 года.

Помимо строгих требований к времени безотказной работы, организации ОТ, управляющие критической инфраструктурой, известны тем, что полагаются на устаревшие устройства, поскольку замена технологий при сохранении нормальной работы является сложной и дорогостоящей. Это делает их одновременно доступными и, скорее всего, заплатят выкуп, поскольку простой будет иметь серьезные последствия.