Le ministère américain de la Justice (DoJ) a inculpé Guan Tianfengun ressortissant chinois, pour avoir prétendument exploité une vulnérabilité zero-day dans les pare-feu Sophos, compromettant environ 81 000 appareils dans le monde en 2020. Guan est accusé d’avoir déployé des logiciels malveillants pour voler des données sensibles et violer des systèmes d’infrastructure critiques.
La vulnérabilité exploitée, CVE-2020-12271avait un indice de gravité critique de 9,8 sur l’échelle CVSS. Cela a permis aux attaquants d’obtenir un accès non autorisé aux pare-feu Sophos via des failles d’injection SQL. Parmi les appareils concernés, plus de 23 000 se trouvaient aux États-Unis, dont 36 systèmes liés à une infrastructure critique. Guan, qui opérait sous les pseudonymes de gbigmao et gxiaomao, travaillait pour Sichuan Silence Information Technology Co., Ltd., une société ayant des liens présumés avec le gouvernement chinois.
Selon le accusationGuan et ses associés ont conçu des logiciels malveillants pour extraire des données et perturber les opérations du pare-feu. Le FBI a demandé l’aide du public pour identifier les autres personnes impliquées, alors que les enquêtes sur l’attaque se poursuivent.
Les accusations portées contre Guan incluent également le déploiement d’une variante de ransomware, Ragnarökpour chiffrer les fichiers sur les systèmes victimes en tentant de traiter les infections. Le groupe a masqué ses opérations en utilisant des domaines trompeurs comme sophosfirewallupdate.com paraître légitime.
Sophos avait déjà reconnu la sophistication croissante des cyberattaques ciblant ses appareils d’ici 2021. La société a attribué bon nombre de ces incidents à menace persistante avancée (APT) groupes ayant une connaissance spécialisée de ses systèmes. Suite à l’attaque, Sophos a mis en œuvre des contre-mesures rapides pour limiter toute exploitation ultérieure. Le département du Trésor américain a souligné l’impact potentiel grave de telles vulnérabilités, notant que l’incapacité de corriger les systèmes concernés aurait pu entraîner des conséquences catastrophiques, notamment des blessures ou des pertes de vies.
En réponse à ces cyberactivités, le gouvernement américain a imposé des sanctions contre Guan et Sichuan Silence, soulignant les risques pour la sécurité nationale posés par les cyberattaques parrainées par l’État. L’acte d’accusation fait partie d’une stratégie plus large visant à relever les défis présentés par les cyberacteurs étrangers, en particulier ceux liés au gouvernement chinois.
Le Département d’État américain a annoncé des récompenses allant jusqu’à 10 millions de dollars pour obtenir des informations permettant d’identifier les individus impliqués dans des cyberattaques contre des infrastructures critiques américaines. Les responsables continuent de souligner l’importance d’une collaboration mondiale dans les efforts de cybersécurité visant à contrer les menaces persistantes des adversaires étrangers.
Crédit image en vedette : David Trinks/Unsplash
L’article Violation du pare-feu Sophos : le FBI demande l’aide du public pour identifier les co-conspirateurs apparaît en premier sur TechBriefly.
Source: Violation du pare-feu Sophos : le FBI demande l’aide du public pour identifier les co-conspirateurs
