Le département du Trésor des États-Unis a sanctionné Sichuan Silence, une entreprise chinoise de cybersécurité, et l’un de ses employés pour leur implication dans une série d’attaques de ransomware Ragnarok ciblant des entreprises américaines d’infrastructures critiques et de nombreuses autres victimes dans le monde entier en avril 2020.
Selon le Bureau du contrôle des avoirs étrangers (OFAC) du Département, Sichuan Silence est un entrepreneur gouvernemental en cybersécurité basé à Chengdu qui fournit des produits et des services à des clients clés tels que les services de renseignement chinois.
Les services de la société comprennent l’exploitation du réseau informatique, le craquage de mots de passe par force brute, la surveillance des e-mails et la suppression de l’opinion publique.
L’OFAC affirme que le jour zéro utilisé dans la campagne d’avril 2020 a été découvert par le chercheur en sécurité et employé du Silence du Sichuan Guan Tianfeng (également connu sous le nom de GbigMao) dans un produit pare-feu sans nom.
« Entre le 22 et le 25 avril 2020, Guan Tianfeng a utilisé cet exploit zero-day pour déployer des logiciels malveillants sur environ 81 000 pare-feu appartenant à des milliers d’entreprises dans le monde entier », a révélé un communiqué de presse publié aujourd’hui.
« Le but de l’exploit était d’utiliser les pare-feu compromis pour voler des données, y compris des noms d’utilisateur et des mots de passe. Cependant, Guan a également tenté d’infecter les systèmes des victimes avec la variante du ransomware Ragnarok. »
Sur tous les appareils ciblés, plus de 23 000 pare-feu compromis se trouvaient aux États-Unis et 36 protégeaient les réseaux d’entreprises américaines d’infrastructures critiques.
L’OFAC affirme que l’une des victimes était une entreprise énergétique américaine impliquée dans des opérations de forage et que l’attaque aurait pu entraîner d’importantes pertes en vies humaines si les attaques de ransomware n’avaient pas été contrecarrées.
Mardi, le ministère de la Justice (DOJ) a également descellé un acte d’accusation contre Guan, et le Département d’État américain a annoncé une offre de récompense pouvant aller jusqu’à 10 millions de dollars pour des informations sur le Silence du Sichuan ou Guan par le biais de son programme de récompenses pour la justice.
Exploitation jour zéro du pare-feu Sophos XG
Le Département d’État a confirmé que la campagne de rançongiciel Ragnarok d’avril 2020 exploitait une vulnérabilité d’injection SQL zero-day dans les pare-feu Sophos XG.
« En 2020, le ressortissant chinois Guan Tianfeng et d’autres employés de Sichuan Silence ont développé et testé des techniques d’intrusion avant de déployer des logiciels malveillants qui leur ont permis d’exploiter une vulnérabilité zero-day dans certains pare-feu vendus par la société de cybersécurité britannique Sophos Ltd », a déclaré le Département d’État.
« Ils ont déployé des logiciels malveillants dans le monde entier, permettant l’accès à certains pare-feu Sophos sans autorisation, leur causant des dommages et leur permettant de récupérer et d’exfiltrer des données à la fois des pare-feu eux-mêmes et des ordinateurs derrière ces pare-feu. »
Les attaquants ont initialement utilisé des exploits zero-day pour obtenir l’exécution de code à distance sur les pare-feu Sophos XG et ont installé des binaires et des scripts ELF faisant partie d’une boîte à outils malveillante connue sous le nom de cheval de Troie Asnarök.
Une fois que Sophos a détecté les attaques, corrigé les périphériques et. suppression des scripts malveillants à l’aide d’un correctif. Cependant, les auteurs de la menace ont activé un « commutateur d’homme mort » qui a déclenché une attaque de ransomware Ragnarok sur les machines Windows sur les réseaux des victimes.
À la suite des sanctions d’aujourd’hui, il est interdit aux organisations et aux citoyens américains de s’engager dans des transactions avec Guan et Sichuan Silence. De plus, tous les actifs basés aux États-Unis qui leur sont liés seront gelés, et les institutions financières américaines ou les entités étrangères effectuant des transactions avec eux s’exposeront également à des pénalités.
Instagram Facebook en novembre 2021, Meta a démantelé deux réseaux de 524 comptes Facebook et 86 comptes Instagram liés au Silence du Sichuan. Meta a déclaré à l’époque que les comptes avaient été utilisés pour cibler les anglophones aux États-Unis et au Royaume-Uni, ainsi que les publics sinophones à Taiwan, Hong Kong et au Tibet dans le cadre d’une campagne de désinformation COVID.