米財務省は、2020年4月に米国の重要インフラ企業や世界中の多くの被害者を標的とした一連のラグナロク・ランサムウェア攻撃に関与したとして、中国のサイバーセキュリティ企業Sichuan Silence社とその従業員1人を制裁した。
同省の外国資産管理局(OFAC)によると、四川省サイレンスは成都を拠点とするサイバーセキュリティの政府請負業者(最近、納豆感想チームによって紹介された)で、中国の諜報機関のような中核的な顧客に製品やサービスを提供している。
同社のサービスには、コンピュータ・ネットワーク搾取、総当りパスワード・クラッキング、電子メール監視、国民感情抑制などが含まれる。
OFACによると、2020年4月のキャンペーンで使用されたゼロデイを発見したのは、セキュリティ研究者で四川省サイレンスの従業員でもあるGuan Tianfeng(別名GbigMao)氏で、無名のファイアウォール製品だったという。
「2020年4月22日から25日にかけて、Guan Tianfengはこのゼロデイ・エクスプロイトを使用して、世界中の数千の企業が所有する約81,000のファイアウォールにマルウェアを展開した。
「この悪用の目的は、侵害されたファイアウォールを使用して、ユーザー名やパスワードなどのデータを盗むことでした。しかし、Guanはまた、Ragnarokランサムウェアの亜種で被害者のシステムを感染させようとした。”
標的となった全デバイスのうち、23,000台以上の侵害されたファイアウォールが米国内にあり、36台が米国の重要インフラ企業のネットワークを保護していた。OFACによれば、被害者の1人は掘削作業に携わる米国のエネルギー企業であり、ランサムウェア攻撃が阻止されなかった場合、この攻撃によって多大な人命が失われた可能性があるという。
火曜日には、司法省(DOJ)もグアン氏に関する起訴状を封印解除し、米国務省は「司法のための報奨金」プログラムを通じて、四川省の沈黙またはグアン氏に関する情報に対して最高1000万ドルの報奨金を提供すると発表した。
Sophos XG ファイアウォールのゼロデイ攻撃
国務省と司法省は、2020年4月の Ragnarok ランサムウェアキャンペーンが、Sophos XG ファイアウォールのゼロデイ SQL インジェクション脆弱性 (CVE-2020-12271)を悪用していたことを確認しました。
「2020年、中国籍のGuan TianfengとSichuan Silenceの他の従業員は、英国を拠点とするサイバーセキュリティ企業Sophos Ltdが販売する特定のファイアウォールのゼロデイ脆弱性を悪用できる悪意のあるソフトウェアを展開する前に、侵入テクニックを開発し、テストした」と国務省は述べている。
「彼らは世界中にマルウェアを配備し、ソフォスのファイアウォールに無許可でアクセスし、被害を与え、ファイアウォール自身とファイアウォールの背後にあるコンピュータの両方からデータを取得し、流出させた。
攻撃者は当初、ゼロデイ攻撃を使って Sophos XG ファイアウォールでリモートコード実行を取得し、Asnarök Trojan として知られる悪意のあるツールキットの一部である ELF バイナリとスクリプトをインストールしていました。
ソフォスはこの攻撃を検知した後、デバイスにパッチを適用し、ホットフィックスを使用して悪意のあるスクリプトを削除しました。しかし、脅威者は、被害者のネットワーク上の Windows マシンに Ragnarok ランサムウェア攻撃を引き起こす「デッドマンスイッチ」を作動させました。
「私たちがパシフィック・リム(環太平洋経済連携協定)と名づけたこの作戦は、相互にリンクした中国の国民国家の敵対勢力に対する5年間の攻撃活動を通じて、彼らの活動に関する重要なインテリジェンスを収集することに成功しました。ソフォスの CISO であるロス・マッカーチャー(Ross McKerchar)は、電子メールによる声明の中で、「特に、攻撃者のエクスプロイトの研究開発の大部分を、中国の四川省地域、特に四川省 Silence Information Technology の Double Helix Research Institute に関連付けることができました。
「さらに、私たちがAsnarokと名付けた攻撃の波を無力化した後、攻撃とGBigMaoの名で呼ばれる人物との関連を明らかにしました。今日、司法省がGBigMao、別名Guan Tianfengの起訴状を公開し、財務省がSichuan Silenceを制裁したことを嬉しく思う。これは、これらの攻撃者の活動を阻止するための前向きな一歩である。”
本日の制裁の結果、米国の組織および市民は、関および四川サイレンスとの取引に関与することが禁止される。また、彼らと結びついた米国に拠点を置く資産は凍結され、彼らと取引を行う米国の金融機関や外国企業も罰則の対象となる。
2021年11月、メタ社は四川省サイレンスに関連する524のフェイスブックアカウントと86のインスタグラムアカウントの2つのネットワークを解体した。Metaは当時、これらのアカウントはCOVIDの偽情報キャンペーンで米国と英国の英語話者、および台湾、香港、チベットの中国語話者の聴衆をターゲットにするために使用されていたと述べた。
12月10日15:07 ESTに更新:ソフォス CISO Ross McKerchar の声明を追加しました。
Comments