Смерть через монитор: китайский хакер создал вирус-убийцу для массового теракта

Министерство финансов США ввело санкции против китайской компании Sichuan Silence и её сотрудника за атаки с помощью программы-вымогателя Ragnarok. Атаки 2020 года были направлены на критически важные объекты инфраструктуры в США и других странах.

Sichuan Silence – компания из Чэнду, которая работает на госструктуры Китая, включая разведку. Фирма занимается взломом компьютерных сетей, подбором паролей, мониторингом электронной почты и подавлением нежелательных мнений.

Сотрудник компании Гуан Тяньфэн (он же GBigMao) нашёл уязвимость в одном из межсетевых экранов и использовал её для заражения около 81 000 устройств по всему миру. Целью атаки была кража логинов и паролей, а также установка программы-вымогателя Ragnarok. В США пострадало более 23 000 устройств, включая 36, защищавших критически важные объекты. Одна из жертв – энергетическая компания, чьи операции могли закончиться трагедией, если бы атака не была остановлена.

Минюст США предъявил обвинения Гуану, а Госдепартамент объявил награду до $10 миллионов за информацию о сотруднике или компании Sichuan Silence.

Атаки были связаны с уязвимостью SQL-инъекции ( CVE-2020-12271,оценка CVSS: 9.8) в межсетевых экранах Sophos XG. Хакеры разработали инструменты, которые позволяли получить root-доступ к устройствам, извлечь данные и повредить оборудование. Используемое вредоносное ПО получило название Asnarök Trojan.

Sophos быстро обнаружила проблему, выпустила обновления и удалила вредоносные файлы, но злоумышленники предусмотрели “переключатель”, который мог запустить атаку вымогателя Ragnarok на устройства в сети жертв. Сотрудники Sophos также смогли связать атаки с Сычуаньским исследовательским институтом компании Sichuan Silence.

После введения санкций компаниям и гражданам США запрещено работать с Sichuan Silence и её сотрудниками. Все активы компании в США будут заморожены, а банки, которые будут сотрудничать с Sichuan Silence, могут получить штрафы.

В 2021 году Meta удалила более 600 аккаунтов в Facebook* и Instagram*, связанных с Sichuan Silence. Аккаунты распространяли дезинформацию о COVID-19, нацеленную на аудитории в США, Великобритании, Тайване, Гонконге и Тибете.

В ноябре Sophos завершила масштабное расследование атак китайских группировок, которые на протяжении 5 лет целенаправленно атаковали сетевые устройства по всему миру. Серия атак началась еще в декабре 2018 года, когда злоумышленники получили доступ к устройству в офисе индийского подразделения Cyberoam. Используя слабые настройки безопасности, хакеры запустили сетевое сканирование и обнаружили способ проникновения. Впоследствии, в 2020 году, была выявлена уязвимость Asnarök.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Public Release.