美國星期二(12月10日)美國財政部宣布對中國網路安全公司四川無聲信息技術有限公司(以下簡稱四川無聲)及其員工關天峰進行制裁,原因是他們在 2020 年 4 月發生的全球防火牆入侵將近8.1萬台防火牆,受害者涵蓋美國多個關鍵基礎設施公司。
四川無聲與環太平洋行動
美國司法部已針對關天峰提起刑事訴訟,並指控其涉及相關攻擊行動。國務院則宣佈提供高達 1,000 萬美元的「正義獎勵」給予提供關鍵線索的人士。
美方表示,五年來針對中國國家支持的網路攻擊行動——代號Pacific Rim「環太平洋行動」——已成功收集大量關鍵情報。證據顯示,四川無聲的「雙螺旋研究所」與多項攻擊活動高度相關。此外,調查發現,名為「Asnarok」的攻擊行動與綽號「GBigMao」的攻擊者直接相關,而該人即為四川無聲的員工關天峰。
2020 年 4 月 Sophos 防火牆入侵事件
此次防火牆入侵由關天峰首先發現 Sophos 防火牆中的一個零日漏洞(Zero-Day Vulnerability)。他利用該漏洞於 2020 年 4 月 22 日至 25 日期間部署惡意軟體,攻擊約 81,000 台防火牆,涵蓋全球數千家企業。
該漏洞的利用目標是竊取機密數據,包括用戶名和密碼。同時,關還試圖部署名為「Ragnarok」的勒索軟體變種以感染受害系統,從感染電腦中竊取資料。後來這項漏洞被列為CVE-2020-12271。此次攻擊對美國影響尤為嚴重,共有超過 23,000 台防火牆被攻擊,其中 36 台屬於美國關鍵基礎設施公司。例如,一家從事能源鑽探的企業在攻擊時期正進行石油鑽井作業,若攻擊未被發現並阻止,可能會導致重大生產事故。
關天峰與四川無聲的角色
關天峰作為四川無聲的安全研究員,負責漏洞挖掘並代表公司參加多項網路安全比賽。他經常以綽號「GBigMao」在漏洞論壇發布最新的零日漏洞利用技術。四川無聲被認定為中國政府的網路安全承包商,主要為中國情報機構提供網路滲透工具、電子監控設備、密碼破解技術以及輿論壓制解決方案。
在此次防火牆入侵中,關使用的預定位設備被證實由四川無聲提供,進一步證明該公司在攻擊行動中的直接參與。
美國的制裁行動
根據美國行政命令 EO 13694 和 EO 13757 的規定,美國財政部外國資產控制辦公室(OFAC)認定四川無聲及關天峰的行為對美國國家安全、外交政策和經濟構成重大威脅。此次制裁標誌著美國針對國家支持的網路犯罪行動所採取的一項重大反制措施,旨在保護全球網無聲生態的穩定性與安全性。
Pacific Rim攻擊行動相關的部分的入侵指標(IOCs):
9a5ed7a3319e99698cb7f3a4b98ccb1dd19202b8
8a721d68f181c2274c3bb3f34cb492ed
62b690d29808f701b7e30291734a66d78c9cff39
dc64bbdcb4ce0c2c49bb681de35f181f096dee30
7b1e16548265fe4ef9e882af7f1fdf336d072b5a
713f088f02b060f6bbed3c243780e808
74b0fbbb8cb42609eab31d7abcb05515a271e721
56e233cebc7f83b48b5cfc947bbbf8f274677305
65fc7268778ff81d93b4f368bdb19899ce834998