美国政府昨(10)日宣布,因2020年全球企业及政府机关的大规模勒索软体零时差攻击,对一家中国资安厂商四川无声信息技术(Sichuan Silence)及其一名员工发动制裁。
美国财政部外国资产控制办公室(Office of Foreign Assets Control,OFAC)指控,四川无声信息员工关天峰(Guan Tianfeng)在2020年4月发动勒索软体攻击,滥用Sophos防火墙漏洞入侵全球将近8.1万台防火墙系统,包括美国境内2.3万台系统。
根据美国财政部及Sophos的资料,关天峰发现Sophos XG防火墙产品的漏洞后,在2020年4月22到25日间,偕同其他同谋利用该漏洞散布Asnarök(或Ragnarok)勒索软体,旨在从感染电脑中窃取资料。后来这项漏洞被列为CVE-2020-12271追踪。
这次攻击总共感染了8.1万台Sophos防火墙系统,美国境内遭骇系统超过2.3万。其中有36台隷属于重大基础架构业者。其中一家受害企业是美国海底石油探勘业者。不过至少在这家能源客户的案例中,攻击先由Sophos侦测而并未成功。
美国政府说,四川无声信息是位于成都的政府外包商,其主要客户是中国情报机构,为这些客户提供网路滥用攻击、电子邮件监控、密码暴力破解、以及公众情感抑制(public sentiment suppression,即操纵网路社群风向)产品。该公司也提供网路扫瞄和渗透设备以锁定特定网路路由器。关天峰2020年的攻击预置(pre-positioning)装置也是由该公司持有。
美国司法部并公布对关天峰的起诉,此外,美国国务院也悬赏关于四川无声信息或这名员工的情报,奖金最高1,000万美元。
关于这宗攻击的资讯得力于Sophos近日公开的调查。Sophos于11月公布一份历经5年调查完成,名为Pacific Rim大规模攻击行动。调查人员发现骇客在四川地区从事相关的漏洞研究利用及开发,他们相信找出的漏洞很可能已提供给多个由中国政府资助的骇客组织运用,像是APT41、APT31和Volt Typhoon。