Recentemente, il governo degli Stati Uniti ha formalizzato delle accuse contro un cittadino cinese, Guan Tianfeng, per il suo presunto coinvolgimento in attacchi informatici che hanno compromesso migliaia di firewall Sophos a livello globale nel 2020. Guan, noto anche come gbigmao e gxiaomao, è stato accusato di cospirazione per commettere frode informatica e frode telematica. L'accusa sostiene che Guan abbia sviluppato e testato una vulnerabilità di sicurezza zero-day, utilizzata per sfruttare i firewall Sophos.

Secondo l'FBI, questa vulnerabilità, identificata come CVE-2020-12271, era un grave difetto di iniezione SQL che permetteva a un attaccante di eseguire codice remoto su firewall Sophos vulnerabili. L'exploit è stato utilizzato per infiltrarsi in circa 81.000 firewall, permettendo agli hacker di accedere senza autorizzazione, danneggiare i dispositivi e sottrarre dati.

Sophos ha rivelato che nel 2020, un giorno dopo aver ricevuto un rapporto di bug bounty da ricercatori associati all'istituto Double Helix di Sichuan Silence, la vulnerabilità è stata sfruttata in attacchi reali per rubare dati sensibili, inclusi nomi utente e password, attraverso il trojan Asnarök. Un evento simile si è ripetuto nel 2022 con un altro ricercatore anonimo dalla Cina, che ha segnalato altre due vulnerabilità critiche nei firewall Sophos.

Gli attacchi sono stati attribuiti a diversi gruppi di attività, tra cui Personal Panda e TStark, che hanno mirato la stessa organizzazione tibetana in due occasioni separate. La giustizia statunitense ha dichiarato che Guan e i suoi complici hanno progettato malware per rubare informazioni dai firewall, utilizzando domini falsi che simulavano quelli di Sophos per camuffare le loro attività.

Nel tentativo di contrastare le contromisure di Sophos, i malintenzionati hanno sviluppato una variante del ransomware Ragnarok, progettata per attaccare i sistemi Windows infetti. Tuttavia, questi sforzi non hanno avuto successo. Contemporaneamente all'accusa, il Dipartimento del Tesoro degli Stati Uniti ha imposto sanzioni contro Sichuan Silence e Guan, affermando che molte delle vittime erano aziende di infrastrutture critiche statunitensi.

Sichuan Silence è stata identificata come un contractor governativo cinese, che offre servizi di cybersecurity alle agenzie di intelligence cinesi, equipaggiandole con strumenti per condurre sfruttamenti di rete, monitoraggio delle email, e soppressione della percezione pubblica. Nel 2021, Meta ha rimosso centinaia di account Facebook e Instagram associati a Sichuan Silence, accusati di disinformazione legata al COVID-19.

Questo caso evidenzia la portata e la persistenza degli avversari statali cinesi, che rappresentano una minaccia significativa per le infrastrutture critiche. Richiede un'azione collettiva e individuale nel settore della sicurezza informatica per contrastare tali minacce avanzate e persistenti.