Sophos-Exploits aus China: FBI sucht mutmaßlichen Entwickler per Steckbrief
Eine Gruppe aus China soll Schadcode auf Sophos-Firewalls entwickelt und Tausende angegriffen haben. Das bringt ihnen nun eine Anklage und Sanktionen ein.
(Bild: Timofeev Vladimir/Shutterstock.com)
Ein chinesischer Staatsangehöriger wird von den USA beschuldigt, an der Entwicklung von Exploits für Sicherheitslücken in Sophos-Produkten mitgewirkt zu haben. Der 30-Jährige wird nun steckbrieflich vom FBI gesucht, das bis zu zehn Millionen US-Dollar für Hinweise zahlt, die zu seiner Ergreifung führen. Er soll gemeinsam mit anderen Mitarbeitern einer chinesischen IT-Firma über 80.000 Sophos-Firewalls angegriffen haben.
Zehntausende Geräte kompromittiert
Am Bezirksgericht im Norden des US-Bundesstaats Indiana erheben die Vereinigten Staaten Anklage gegen Tianfeng G., der bei "Sichuan Silence Technology Company Ltd." arbeiten soll. Die Firma entwickle und verkaufe Exploits an verschiedene chinesische Regierungseinrichtungen, so die Anklageschrift. Der Verdächtige habe zusammen mit seinen Komplizen eine Sicherheitslücke in Sophos-Geräten gefunden (CVE-2020-12271), auf über 81.000 Geräten weltweit ausgenutzt und Daten abgefischt. Auch Ransomware hätten die Angreifer eingesetzt.
Videos by heise
Die genannte Sicherheitslücke, eine SQL Injection, ermöglichte den Angreifern, beliebige Kommandos auf Sophos-Geräten auszuführen und sie mit einer Hintertür auszustatten. Die Malware mit dem Spitznamen "Asnarök" stahl dann Zugangsdaten und VPN-Informationen von den Geräten. Ihren mythologisch anmutenden Namen verdankt die Schadsoftware einer Domain, die bei den Angriffen auftauchte und "ragnarokfromasgard.com" hieß.
Tianfeng G. wird als einziger Verdächtiger namentlich in der Anklageschrift genannt. Womöglich tauchte sein Name im Zusammenhang mit der Registrierung mehrerer Sophos-Firewalls beim Hersteller auf, denn deren Beschaffung im Februar 2020 wirft das US-Gericht ihm nun vor. Auf Hinweise zu den Tatverdächtigen und der chinesischen Exploit-Schmiede setzt das FBI eine Belohnung von bis zu zehn Millionen US-Dollar (gut 9,5 Millionen Euro) aus.
Zudem verhängt die US-Regierung wirtschaftliche Sanktionen: Sowohl Tianfeng G. als auch die Firma "Sichuan Silence" stehen seit dem 10. Dezember auf der SDN-Liste ("Specially Designated Nationals") des US-Finanzministeriums. Dies bedeutet, dass diese Person oder Organisation als Bedrohung für die nationale Sicherheit, Außenpolitik oder Wirtschaft der Vereinigten Staaten eingestuft wurde. Als Konsequenz werden die Vermögenswerte dieser Personen oder Organisationen in den USA eingefroren, und es ist US-Bürgern sowie vielen internationalen Unternehmen generell untersagt, mit ihnen Geschäfte zu tätigen oder in irgendeiner Form zu interagieren.
Am Rand des Pazifik
Sophos hatte die Entwickler des "Asnarök"-Angriffs in einem jahrelangen Katz-und-Maus-Spiel gejagt und der Öffentlichkeit kürzlich die Ergebnisse der eigenen Ermittlungen unter dem Codenamen "Pacific Rim" präsentiert. In denen hatte Sophos zwar den mutmaßlichen Entwickler des Exploits identifiziert, aber noch keine Beweise für die jetzt von den US-Behörden postulierte Zusammenarbeit mit den tatsächlichen Angreifern gefunden. Das Vorgehen des britischen Herstellers, die eigenen Geräte mit Spionagefunktionen zu versehen, stieß dabei auch auf Kritik. heise-security-Chef Jürgen Schmidt etwa konstatierte in einem Kommentar: "Das nennt man normalerweise Malware".
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Auch die aktuelle, am 11. Dezember 2024 erschienene Folge des heise-security-Podcasts "Passwort" thematisiert den "Hackback nach China". Die Hosts – c't-Redakteur Sylvester Tremmel sowie der Autor dieser Meldung – zeichnen die Sophos-Recherche nach und ordnen sie ein. Die nun verhängten Sanktionen kamen für die vor wenigen Wochen aufgenommene Podcastfolge jedoch zu spät.
(cku)
