黑客关天峰被美国指控利用零日漏洞感染全球8万多个防火墙设备,其中包括美国某机构使用的防火墙设备

科技   2024-12-12 12:54   广东  

印第安纳州哈蒙德市一家联邦法院今天公布了一份起诉书,指控国公民关天峰参与了 2020 年在全球范围内无差别入侵防火墙设备的阴谋。

关先生及其同谋在四川赛斯信息技术有限公司的办公室工作,发现并利用了英国 Sophos 有限公司(一家开发和销售网络安全产品的信息技术公司)销售的某些防火墙中以前未知的漏洞。

利用关某发现的漏洞的恶意软件旨在窃取受感染计算机的信息,并在受害者试图修复感染时加密计算机上的文件。关某及其同伙总共感染了全球约 81,000 台防火墙设备,其中包括美国某机构使用的防火墙设备。

副检察长丽莎·莫纳科 (Lisa Monaco) 表示:“被告及其同伙利用了数万台网络安全设备的漏洞,用恶意软件感染这些设备,旨在窃取世界各地受害者的信息。”

FBI 印第安纳波利斯外勤局特工 Herbert J. Stapleton 表示:“关天峰及其同伙发现并利用的零日漏洞影响了美国各地企业(包括印第安纳州)的防火墙。如果 Sophos 没有迅速发现漏洞并采取全面应对措施,损失可能会更加严重。Sophos 的努力与我们网络团队的奉献精神和专业知识相结合,形成了强大的合作伙伴关系,最终缓解了这一威胁。”


利用通用漏洞和暴露 (CVE) 2020-12271 的阴谋

起诉书指控,2020 年,Guan 及其同谋利用这些设备上存在的零日漏洞开发、测试和部署了针对约 81,000 台 Sophos 防火墙的恶意软件。这 81,000 台 Sophos 防火墙遍布世界各地,包括位于印第安纳州北区的受害组织。该漏洞后来被指定为 CVE 2020-12271。

Guan 和他的同谋设计了恶意软件以窃取防火墙信息。为了更好地隐藏他们的活动,Guan 和他的同谋注册并使用了看起来像是由 Sophos 控制的域名,例如 sophosfirewallupdate.com。Sophos 发现了入侵并在大约两天内修复了客户的防火墙,这导致同谋修改了他们的恶意软件。

经过修改后,该恶意软件旨在当受害者试图删除该恶意软件时,部署勒索软件变体的加密软件。他们的加密努力没有成功,但表明了共谋者对受害者造成的伤害漠不关心。

根据法庭文件,关某曾就职于四川思思公司,这是一家位于国的私营公司,曾为某国公安部等国机构提供服务。据四川思思网站介绍,该公司开发了一条产品线,可用于扫描和检测海外网络目标并获取有价值的情报信息。

10 月,Sophos 发布了多篇文章,记录了其另一项长期调查“环太平洋”。Sophos 详细介绍了五年多以来,驻扎在某国的高级持续性威胁组织一直针对其网络设备进行攻击,并称这些组织“对设备固件的内部架构异常了解”。环太平洋报告中描述的其中一项攻击涉及 CVE-2020-12271。

10 月 Sophos 发布声明后不久,FBI 便发出 征集令,要求提供 有关 Sophos 边缘设备计算机入侵的信息。FBI 继续征集有关受资助的针对边缘设备和网络安全设备的恶意行为者的信息。


感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里

Ots安全
持续发展共享方向:威胁情报、漏洞情报、恶意分析、渗透技术(工具)等,不会回复任何私信,感谢关注。
 最新文章