Una acusación federal ha acusado a un ciudadano chino Guan Tian Feng con la explotación de una vulnerabilidad de día cero en los firewalls de Sophos, que afectó a aproximadamente 81.000 dispositivos en todo el mundo en 2020. El Departamento de Justicia de EE. UU. (DoJ) alega que Guan conspiró para implementar malware que comprometió datos confidenciales y se infiltró en la infraestructura crítica.
Ciudadano chino acusado de explotar las vulnerabilidades del firewall de Sophos
La vulnerabilidad, clasificada como CVE-2020-12271 y calificado con una puntuación CVSS alta de 9,8, permitió el acceso no autorizado a través de fallas de inyección SQL en dispositivos firewall de Sophos. En particular, más de 23.000 de los cortafuegos comprometidos estaban ubicados en Estados Unidos, de los cuales 36 daban servicio a sistemas de infraestructura crítica de ese país. Guan, también conocido por los alias gbigmao y gxiaomao, era empleado de Sichuan Silence Information Technology Co., Ltd, una empresa que se cree que tiene vínculos con el gobierno chino.
Según la acusación, Guan y sus cómplices diseñaron malware para filtrar datos e interrumpir la funcionalidad del firewall. El Departamento de Justicia declaró: “Se busca a Guan Tianfeng por su presunto papel en conspirar para acceder a los firewalls de Sophos sin autorización, causarles daños y recuperar y exfiltrar datos”. Las investigaciones están en curso y el FBI ha buscado asistencia pública para identificar a otros involucrados en los ataques.
Según se informa, las actividades de Guan incluían la explotación de vulnerabilidades para robar información y, posteriormente, implementar una variante de ransomware, el malware Ragnarok, destinado a cifrar archivos de las víctimas que intentaban remediar las infecciones. La intención de ocultar sus actividades implicaba el registro de dominios que imitaban a Sophos, como sophosfirewallupdate.com.
En 2021, Sophos ya había destacado la sofisticación de las ciberamenazas a las que se enfrentaba, indicando que numerosos incidentes fueron perpetrados por grupos de amenazas persistentes avanzadas (APT) con un conocimiento significativo de los dispositivos de Sophos. Después de los incidentes, Sophos implementó rápidas contramedidas que ayudaron a mitigar nuevas vulnerabilidades. «Si alguna de estas víctimas no hubiera parcheado sus sistemas… el impacto potencial… podría haber resultado en lesiones graves o la pérdida de vidas humanas», afirmó el Departamento del Tesoro de Estados Unidos.
En respuesta a estas amenazas cibernéticas, el gobierno de Estados Unidos ha impuesto sanciones contra Guan y Sichuan Silence, enfatizando que tales actividades cibernéticas plantean riesgos significativos tanto para la seguridad nacional como para la seguridad pública. La acusación refleja un esfuerzo más amplio para enfrentar los desafíos planteados por los ciberactores patrocinados por estados extranjeros, particularmente aquellos con sede en China.
El Departamento de Estado de Estados Unidos también ha ofrecido recompensas de hasta 10 millones de dólares por información que conduzca a identificar a personas involucradas en actividades cibernéticas maliciosas contra la infraestructura crítica de Estados Unidos. A medida que continúan las investigaciones, los funcionarios enfatizan la necesidad de realizar esfuerzos colaborativos en ciberseguridad para combatir la persistente amenaza de actores extranjeros.
Crédito de la imagen destacada: Comparar Fibra/Unsplash
