美国制裁中国公司，称其涉嫌参与网络攻击

美国财政部对中国网络安全公司四川无声及其一名员工实施制裁，原因是他们涉嫌参与了2020年4月的一系列针对美国关键基础设施公司，以及全球范围内其他受害者的“诸神黄昏”勒索软件攻击。

据美国财政部外国资产控制办公室（OFAC）透露，四川无声是一家总部位于成都的网络安全承包商（最近被Natto Thoughts团队报道过），主要向中国情报机构等核心客户提供产品和服务。OFAC还表示，该公司的服务范围涵盖了计算机网络渗透、暴力破解密码、电子邮件监控等多个方面。

OFAC对此披露，四川默安科技员工的关天峰（别名GbigMao），在2020年4月的一次网络攻击行动中，于一款未透露名称的防火墙产品中发掘了一个零日漏洞。美方表示，据近日发布的一份公告显示，从2020年4月22日至25日，关天峰利用该零日漏洞，向全球范围内数千家企业所属的约81,000台防火墙植入了恶意软件。

OFAC在公告中如此阐述：“此次攻击的意图在于，通过控制被入侵的防火墙来窃取数据，特别是用户名和密码等敏感信息。此外，关天峰还试图向受害者的系统部署‘诸神黄昏’勒索软件的变种版本。”

在所有遭受攻击的设备中，超过23,000台位于美国的防火墙被攻破，其中36台正负责保护美国关键基础设施企业的网络安全。OFAC指出，受害者名单中包括一家从事钻探作业的美国能源公司，如果勒索软件攻击得逞，可能会引发严重的人员伤亡。

与此同时，在周二，美国司法部（DOJ）正式公布了针对关天峰的起诉书，而美国国务院则通过其“正义奖赏计划”宣布，将对提供有关四川无声或关天峰有效信息的举报人，给予最高可达1000万美元的奖励。

据美国国务院与司法部确认，2020年4月爆发的“诸神黄昏”勒索软件攻击事件，是攻击者利用了Sophos XG防火墙中存在的零日SQL注入漏洞（CVE编号：2020-12271）所致。

国务院指出，中国公民关天峰及其公司的同事，在部署恶意软件之前，已经成功开发并测试了一种入侵技术，该技术使他们能够利用特定防火墙中的零日漏洞，该防火墙由英国Sophos Ltd公司销售。

美方表示，被告人通过这一技术，在全球范围内部署了恶意软件，未经授权地访问了Sophos防火墙，并对其造成了损害。同时，被告人还从防火墙本身以及防火墙保护的计算机中检索和窃取了数据。

美方指出，攻击者最初利用零日漏洞在Sophos XG防火墙上获得了远程代码执行权限，并安装了名为Asnarök木马的恶意工具包中的ELF二进制文件和脚本。Sophos公司在检测到这一攻击后，迅速为设备打了补丁，并使用热修复技术删除了恶意脚本。然而，攻击者却激活了一个“死亡开关”，企图在受害者的网络上触发针对Windows机器的“诸神黄昏”勒索软件攻击。

Sophos 的CISO Ross McKerchar在给BleepingComputer的邮件中透露：“在为期五年针对中国的进攻性行动中，我们成功获取了他们活动的关键情报。值得注意的是，我们发现攻击者的漏洞研究与开发活动大多与中国四川省有关，特别是四川无声信息技术公司的双螺旋研究所。此外，在我们平息了名为‘Asnarok’的攻击后，我们发现这些攻击与一位名叫GBigMao（即关天峰）的人有关联。今天，我们很高兴看到司法部已对Gbigmao提起诉讼，财政部也对四川无声实施了制裁。这是打击这些攻击者行动的重要一步。”

由于相关的制裁措施，美国组织和公民被禁止与关天峰和四川无声进行任何交易。同时，他们在美国的资产将被冻结，与美国金融机构或外国实体进行交易的他们也将面临处罚。