Американский Минфин официально утвердил серьёзные санкции, направленные против китайской ИТ-компании Sichuan Silence и персонально против одного из её сотрудников за проведение хакерских атак с применением вымогательского программного обеспечения под названием Ragnarok. Соответствующие кибератаки с использованием этого вредоносного ПО были проведены в 2020 году против критически важных объектов и инфраструктуры США и ряде других западных стран.

Sichuan Silence — китайская компания, работающая на местные государственные структуры и разведывательное управление. Фирма специализируется на взломе различных компьютерных сетей, программного обеспечения, подборе паролей и мониторинге электронной почты.

В американском Министерстве финансов заявили, что сотрудник Гуан Тяньфэн, также известный под псевдонимом GBigMao, обнаружил критическую уязвимость в одном из межсетевых экранов. После этого он начал её эксплуатацию для заражения вредоносным программным обеспечением свыше 81 тыс. компьютеров по всему миру. Основной целью этой кибератаки выступали кража учётных данных от различных сервисов, а также установка на заражённые устройства вымогательского ПО Ragnarok.

От этой кибератаки в США пострадало не менее 23 тыс. компьютеров, в том числе 36 устройств, находящихся на предприятиях критической инфраструктуры. Одной из жертв стала крупная энергетическая компания, нарушение операций которой могло привести к трагедии и человеческим жертвам.

В Министерстве юстиции США были официально предъявлены обвинения Гуану Тяньфэну, а Госдеп США готов выплатить вознаграждение в размере до $10 миллионов за сведения о гражданине Китая, которые помогут привести к его аресту.

Эксперты по кибербезопасности заявили, что проводимые компанией Sichuan Silence кибератаки были связаны с эксплуатацией уязвимости SQL-инъекции (с идентификатором CVE-2020-12271, серьёзность по CVSS — 9.8) в межсетевых экранах Sophos XG. Киберпреступники создали инструменты, позволяющие получить root-доступ к компьютерам, извлечь конфиденциальную информацию и повредить оборудование. Применяемое вредоносное ПО получило название Asnarök Trojan.

Вскоре после обнаружения атак компания Sophos смогла выявить проблему, оперативно представила патчи безопасности и удалила вредоносные файлы. Но хакерам удалось внедрить «переключатель», который был необходим для запуска атаки с применением шифровальщика Ragnarok на устройства в сети атакованных организаций. Аналитики из компании Sophos заявили, что эти атаки якобы связаны с Сычуаньским исследовательским институтом компании Sichuan Silence.

Введённые американскими властями санкции предусматривают, что компаниям из США и гражданам страны запрещено как-либо взаимодействовать с китайской компанией Sichuan Silence и её сотрудниками.

Ещё по теме: