El Departamento del Tesoro de Estados Unidos ha sancionado a la empresa china de ciberseguridad Sichuan Silence y a uno de sus empleados por su participación en una serie de ataques de ransomware Ragnarok dirigidos a empresas de infraestructura crítica estadounidenses y muchas otras víctimas en todo el mundo en abril de 2020.
Según la Oficina de Control de Activos Extranjeros (OFAC) del Departamento, Sichuan Silence es un contratista gubernamental de ciberseguridad con sede en Chengdu (recientemente perfilado por el equipo de Natto Thoughts ) que proporciona productos y servicios a clientes clave como los servicios de inteligencia de China.
Los servicios de la empresa incluyen explotación de redes informáticas, descifrado de contraseñas mediante fuerza bruta, monitoreo de correo electrónico y supresión del sentimiento público.
La OFAC afirma que el día cero utilizado en la campaña de abril de 2020 fue descubierto por el investigador de seguridad y empleado de Sichuan Silence Guan Tianfeng (también conocido como GbigMao) en un producto de firewall anónimo.
«Entre el 22 y el 25 de abril de 2020, Guan Tianfeng utilizó este exploit de día cero para implementar malware en aproximadamente 81.000 firewalls propiedad de miles de empresas en todo el mundo», reveló un comunicado de prensa publicado hoy.
«El objetivo del exploit era utilizar los firewalls comprometidos para robar datos, incluidos nombres de usuario y contraseñas. Sin embargo, Guan también intentó infectar los sistemas de las víctimas con la variante del ransomware Ragnarok».
De todos los dispositivos atacados, más de 23.000 cortafuegos comprometidos estaban en Estados Unidos y 36 protegían las redes de empresas de infraestructura crítica de ese país. La OFAC afirma que una de las víctimas era una empresa energética estadounidense involucrada en operaciones de perforación y que el ataque podría haber provocado una pérdida significativa de vidas humanas si los ataques de ransomware no se hubieran podido frustrar.
El martes, el Departamento de Justicia (DOJ) también hizo pública una acusación contra Guan, y el Departamento de Estado de EE. UU. anunció una oferta de recompensa de hasta 10 millones de dólares por información sobre Sichuan Silence o Guan a través de su programa Recompensas por la Justicia.
Explotación de día cero del firewall Sophos XG
El Departamento de Estado y el Departamento de Justicia confirmaron que la campaña de ransomware Ragnarok de abril de 2020 explotó una vulnerabilidad de inyección SQL de día cero (CVE-2020-12271) en los firewalls Sophos XG.
«En 2020, el ciudadano chino Guan Tianfeng y otros empleados de Sichuan Silence desarrollaron y probaron técnicas de intrusión antes de implementar software malicioso que les permitió explotar una vulnerabilidad de día cero en ciertos firewalls vendidos por la empresa de ciberseguridad Sophos Ltd, con sede en el Reino Unido», dice el Departamento de Estado.
«Desplegaron malware en todo el mundo, permitiendo el acceso a ciertos firewalls de Sophos sin autorización, causándoles daños y permitiéndoles recuperar y exfiltrar datos tanto de los propios firewalls como de las computadoras detrás de estos firewalls».
Los atacantes inicialmente utilizaron exploits de día cero para obtener ejecución remota de código en los firewalls Sophos XG e instalaron binarios ELF y scripts que forman parte de un kit de herramientas malicioso conocido como troyano Asnarök.
Después de que Sophos detectara los ataques, aplicó un parche a los dispositivos y eliminó los scripts maliciosos mediante una revisión rápida. Sin embargo, los actores de la amenaza activaron un «interruptor de hombre muerto» que habría desencadenado un ataque de ransomware Ragnarok en las máquinas Windows de las redes de las víctimas.
«Durante nuestra ofensiva de cinco años contra adversarios chinos interconectados (una operación que hemos llamado Pacific Rim), hemos logrado reunir información crítica sobre sus actividades. En particular, pudimos vincular gran parte de la investigación y el desarrollo de exploits de los atacantes con la región de Sichuan en China, específicamente, el Instituto de Investigación de Doble Hélice de Sichuan Silence Information Technology», dijo el CISO de Sophos, Ross McKerchar, a BleepingComputer en una declaración enviada por correo electrónico.
«Además, después de neutralizar una ola de ataques que llamamos Asnarok, descubrimos vínculos entre los ataques y una persona que se hacía llamar GBigMao. Hoy, nos complace que el Departamento de Justicia haya hecho pública la acusación contra Gbigmao, también conocido como Guan Tianfeng, y que el Tesoro haya aprobado Sichuan Silence. Este es un paso positivo para desbaratar las operaciones de estos atacantes».
Como resultado de las sanciones de hoy, las organizaciones y los ciudadanos estadounidenses tienen prohibido realizar transacciones con Guan y Sichuan Silence. Además, todos los activos con sede en Estados Unidos vinculados a ellas serán congelados, y las instituciones financieras estadounidenses o entidades extranjeras que realicen transacciones con ellas también se expondrán a sanciones.
En noviembre de 2021, Meta desmanteló dos redes de 524 cuentas de Facebook y 86 de Instagram vinculadas a Sichuan Silence. Meta dijo en ese momento que las cuentas se usaban para atacar a los angloparlantes en Estados Unidos y el Reino Unido, así como a las audiencias de habla china en Taiwán, Hong Kong y el Tíbet en una campaña de desinformación sobre el COVID-19.
