Le département du Trésor américain a sanctionné la société chinoise de cybersécurité SichuanSilence et l'un de ses employés pour leur rôle dans une série d'attaques au ransomware Ragnarok en avril 2020 qui visaient des sociétés américaines d'infrastructures critiques et de nombreuses autres victimes dans le monde.
Selon l’Office of Foreign Assets Control (OFAC) du Département d’État américain, Sichuan Silent Information Technology Co., Ltd. est une entreprise gouvernementale de cybersécurité basée à Chengdu (récemment rapportée par l’équipe NattoThoughts) qui fournit des produits et services à ses principaux clients, notamment les agences de renseignement chinoises.
Les services de la société comprennent le développement de réseaux informatiques, le piratage de mots de passe par force brute, la surveillance des e-mails et la suppression de l'opinion publique.
L'OFAC a déclaré que la vulnérabilité Zero Day utilisée dans la campagne d'avril 2020 a été découverte dans un produit de pare-feu anonyme par le chercheur en sécurité Guan Tianfeng (alias GbigMao), un employé de Sichuan Silent Information Technology Co., Ltd.
Le communiqué de presse d'aujourd'hui révèle : « Entre le 22 et le 25 avril 2020, GuanTianfeng a exploité cette vulnérabilité Zero Day pour déployer des logiciels malveillants sur environ 81 000 pare-feu appartenant à des milliers d'entreprises dans le monde. Le but de cette vulnérabilité était d'exploiter des pare-feu compromis pour voler des données, y compris des noms d'utilisateur et des mots de passe.
Parmi tous les appareils compromis, plus de 2 000 pare-feu compromis étaient situés aux États-Unis, dont 36 protégeaient les réseaux d’entreprises américaines d’infrastructures critiques.
Mardi, le ministère américain de la Justice (DOJ) a également annoncé un acte d'accusation contre Guan, et le département d'État américain a annoncé une récompense pouvant atteindre 10 millions de dollars dans le cadre du programme « Récompenses pour la justice » à toute personne fournissant des informations sur le silence du Sichuan ou sur Guan.
Le Département d'État et de la Justice des États-Unis a confirmé que la campagne du ransomware Ragnarok d'avril 2020 exploitait une vulnérabilité d'injection SQL Zero Day (CVE-2020-12271) dans le pare-feu SophosXG.
Le Département d'État a déclaré : « En 2020, le citoyen chinois Guan Tianfeng et d'autres employés de Sichuan Silent Information Technology Co., Ltd. ont développé et testé des techniques d'intrusion, puis ont déployé des logiciels malveillants qui exploitaient les vulnérabilités du jour zéro dans certains pare-feu vendus par la société britannique de cybersécurité Sophos Ltd.
Les attaquants ont initialement exploité une vulnérabilité Zero Day pour exécuter du code à distance sur le pare-feu SophosXG et ont installé des binaires et des scripts ELF faisant partie d'une boîte à outils malveillante appelée cheval de Troie Asnarök.
Après que Sophos ait détecté l’attaque, il a corrigé l’appareil et utilisé un correctif pour supprimer le script malveillant. Cependant, l'auteur de la menace a activé un « interrupteur d'homme mort » qui a déclenché l'attaque du ransomware Ragnarok sur les machines Windows du réseau de la victime.
En raison des sanctions d'aujourd'hui, il est interdit aux organisations et aux citoyens américains d'effectuer des transactions avec cette entité et cet individu. En outre, tous les avoirs américains qui leur sont associés seront gelés, et les institutions financières américaines ou les entités étrangères qui effectuent des transactions avec eux seront également passibles de sanctions.
En novembre 2021, Meta Company a démantelé deux réseaux de hackers, dont 524 comptes Facebook et 86 comptes Instagram liés à Sichuan Silent Company. Meta avait déclaré à l'époque que les comptes étaient utilisés pour mener des campagnes de propagande liées au COVID-19 ciblant les utilisateurs anglophones aux États-Unis et au Royaume-Uni, ainsi que les utilisateurs chinois à Taiwan, Hong Kong et au Tibet.