Sicurezza Informatica
Hacking e ransomware: accuse contro Sichuan Silence e Tianfeng
Sanzioni USA contro Sichuan Silence per attacchi ransomware e hacking firewall Sophos. Strategie globali per contrastare le minacce informatiche.
Gli Stati Uniti hanno annunciato sanzioni contro la società cinese Sichuan Silence e il suo dipendente Guan Tianfeng per attacchi informatici mirati, inclusi exploit di firewall Sophos e attacchi ransomware Ragnarok. Le azioni sottolineano la minaccia crescente dei gruppi sponsorizzati dalla Cina, che utilizzano vulnerabilità critiche per colpire infrastrutture sensibili negli USA e nel mondo.
Attacco tramite Sophos XG Firewall e ransomware Ragnarok
Nel 2020, Guan Tianfeng ha utilizzato una vulnerabilità zero-day (CVE-2020-12271) nei firewall Sophos XG per compromettere circa 81.000 dispositivi in tutto il mondo, inclusi 23.000 negli Stati Uniti. L’attacco mirava a rubare dati, installare il trojan Asnarök e, come misura estrema, distribuire ransomware Ragnarok.
Il dipartimento del Tesoro USA ha evidenziato che 36 firewall compromessi proteggevano aziende di infrastrutture critiche, tra cui una compagnia energetica. Se non fossero state prese contromisure, le conseguenze avrebbero potuto essere devastanti, con possibili perdite di vite umane.
Sophos, che ha scoperto e bloccato l’attacco, ha collaborato con le autorità per identificare i legami tra Guan e il laboratorio di ricerca Double Helix di Sichuan Silence.
Accuse formali e sanzioni contro Sichuan Silence
Il Dipartimento di Giustizia (DoJ) ha accusato Guan di frode informatica e di sviluppo di malware per l’accesso non autorizzato ai firewall. Gli attaccanti utilizzavano domini falsi che imitavano Sophos per nascondere le loro attività.
Le sanzioni vietano qualsiasi transazione tra enti statunitensi e Sichuan Silence, congelando i loro beni negli Stati Uniti. Inoltre, il Dipartimento di Stato offre una ricompensa fino a 10 milioni di dollari per informazioni sul gruppo o su Guan, noto anche come GbigMao.
Sichuan Silence: un profilo di minaccia crescente
Sichuan Silence, una società con sede a Chengdu, è strettamente legata ai servizi di intelligence cinesi. L’azienda offre tecnologie avanzate per l’accesso non autorizzato alle reti, monitoraggio delle comunicazioni e soppressione del dissenso pubblico. Oltre agli attacchi informatici, è stata coinvolta in campagne di disinformazione su piattaforme come Facebook e Instagram, con obiettivi che includevano gli Stati Uniti, il Regno Unito e il sud-est asiatico.
Ransomware come arma di ricatto
L’uso del ransomware Ragnarok come ultima risorsa negli attacchi dimostra la crescente complessità degli attacchi APT sponsorizzati dallo stato. Questi gruppi sfruttano vulnerabilità di software noti per ottenere accesso ai sistemi aziendali, rubare dati sensibili e tenere in ostaggio le infrastrutture con richieste di riscatto elevate.
Collaborazione internazionale contro le minacce APT
Le azioni legali e le sanzioni contro Sichuan Silence rappresentano un passo avanti nella lotta contro le minacce informatiche. Tuttavia, esperti come Ross McKerchar, CISO di Sophos, sottolineano la necessità di uno sforzo collettivo tra aziende tecnologiche, governi e forze dell’ordine per prevenire ulteriori attacchi.
Le contromisure includono:
- Rafforzare le difese contro vulnerabilità zero-day con aggiornamenti tempestivi.
- Investire in tecnologie di rilevamento precoce delle minacce.
- Promuovere trasparenza nella divulgazione di vulnerabilità e sviluppo di software sicuro.
Le sanzioni contro Sichuan Silence e le accuse a Guan Tianfeng evidenziano l’importanza di affrontare con decisione la minaccia degli APT sponsorizzati da stati. Una cooperazione internazionale e un impegno costante nello sviluppo di soluzioni di sicurezza sono essenziali per proteggere le infrastrutture critiche globali.
