Un acte d’accusation fédéral a accusé un ressortissant chinois Guan Tianfeng avec l’exploitation d’une vulnérabilité Zero Day dans les pare-feu Sophos, affectant environ 81 000 appareils dans le monde en 2020. Le ministère américain de la Justice (DoJ) allègue que Guan a conspiré pour déployer des logiciels malveillants qui ont compromis les données sensibles et infiltré les infrastructures critiques.
Un ressortissant chinois inculpé pour exploitation des vulnérabilités du pare-feu Sophos
La vulnérabilité, classée comme CVE-2020-12271 et noté avec un score CVSS élevé de 9,8, a autorisé un accès non autorisé via des failles d’injection SQL sur les pare-feu Sophos. Notamment, plus de 23 000 pare-feu compromis se trouvaient aux États-Unis, dont 36 desservaient des systèmes d’infrastructures critiques américains. Guan, également connu sous les pseudonymes de gbigmao et gxiaomao, était employé par Sichuan Silence Information Technology Co., Ltd, une société soupçonnée d’avoir des liens avec le gouvernement chinois.
Selon l’acte d’accusation, Guan et ses co-conspirateurs ont conçu des logiciels malveillants pour exfiltrer des données et perturber la fonctionnalité du pare-feu. Le DoJ a déclaré : « Guan Tianfeng est recherché pour son rôle présumé dans le complot visant à accéder aux pare-feu Sophos sans autorisation, à leur causer des dommages et à récupérer et exfiltrer des données. » Les enquêtes sont en cours et le FBI a demandé l’aide du public pour identifier les autres personnes impliquées dans les attaques.
Les activités de Guan auraient inclus l’exploitation de vulnérabilités pour voler des informations et ensuite le déploiement d’une variante de ransomware, le malware Ragnarok, visant à crypter les fichiers des victimes tentant de remédier aux infections. L’intention de cacher leurs activités impliquait l’enregistrement de domaines imitant Sophos, tels que sophosfirewallupdate.com.
En 2021, Sophos avait déjà souligné la sophistication des cybermenaces auxquelles elle était confrontée, indiquant que de nombreux incidents étaient perpétrés par des groupes de menaces persistantes avancées (APT) possédant une connaissance approfondie des appareils Sophos. À la suite de ces incidents, Sophos a mis en œuvre des contre-mesures rapides qui ont permis d’atténuer d’autres exploits. « Si l’une de ces victimes n’avait pas réussi à corriger ses systèmes… l’impact potentiel… aurait pu entraîner des blessures graves ou la perte de vies humaines », a déclaré le département du Trésor américain.
En réponse à ces cybermenaces, le gouvernement américain a imposé des sanctions contre Guan et Sichuan Silence, soulignant que de telles cyberactivités présentent des risques importants à la fois pour la sécurité nationale et la sécurité publique. L’acte d’accusation reflète un effort plus large visant à faire face aux défis posés par les cyberacteurs parrainés par des États étrangers, en particulier ceux basés en Chine.
Le Département d’État américain a également offert des récompenses allant jusqu’à 10 millions de dollars pour toute information permettant d’identifier les individus engagés dans des cyberactivités malveillantes contre les infrastructures critiques américaines. Alors que les enquêtes se poursuivent, les responsables soulignent la nécessité de efforts de collaboration en matière de cybersécurité pour lutter contre la menace persistante des acteurs étrangers.
Crédit image en vedette : Comparez Fibre/Unsplash
