Comretix Blog

Microsofts Azure-Cloud bietet den Zugangsschutz mittels Mehr-Faktor-Authentifizierung (MFA) an. Bei der Umsetzung hat Microsoft bis vor kurzem jedoch einen Bock geschossen: Angreifer hätten Verfikationscodes für MFA erraten können. Inzwischen hat Microsoft das Problem gelöst.

Anzeige

Die IT-Forscher von Oasis führen in einem Blog-Beitrag aus, dass die Umgehung rund eine Stunde Zeit benötigte, keine Nutzerinteraktion erforderte und keine Benachrichtigung oder etwaige Hinweise für Kontoinhaber erzeugte. Die Angreifer hätten dann unbefugt Zugriff auf Outlook-E-Mails, Onedrive-Dateien, Teams-Chats, Azure Cloud und mehr erhalten können.

Nach der Eingabe eines gültigen Nutzernamens und Passworts werden User darum gebeten, ihre Identität zu bestätigen. Microsoft unterstützt mehrere MFA-Methoden dafür, etwa auch einen Verifikationscode eines Authenticators. In einer Session erlaubte Microsoft bis zu zehn Fehlversuche. Indem die IT-Forscher nun in schneller Folge neue Sessions erstellten und Verifikationscodes durchprobierten, war es rasch möglich, die eine Million Möglichkeiten des sechsstelligen Codes durchzuprobieren. Es ließen sich viele Versuche gleichzeitig starten.

Während dieser Versuchsperiode haben Kontoinhaber keinerlei Warnung über eine massive Anzahl von fehlgeschlagenen Versuchen erhalten, wodurch dieser Angriff sehr einfach auszuführen ist. Allerdings gibt es noch einen weiteren begrenzenden Faktor.

Admins sollten aus Sicherheitsgründen ihre Gitlab-Installation auf den aktuellen Stand bringen. Andernfalls können Angreifer an mehreren Schwachstellen ansetzen und Systeme kompromittieren.

Anzeige

In einem Beitrag schreiben die Entwickler, dass auf Gitlab.com bereits die abgesicherten Ausgaben laufen. Für selbstverwaltete Gitlab-Installation sind nun die Ausgaben 17.4.6, 17.5.4 und 17.6.2 in der Community Edition und Enterprise Edition erschienen.

Insgesamt haben die Entwickler zwölf Sicherheitslücken geschlossen. Zwei davon sind mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-11274, CVE-2024-8233). Im ersten Fall können Angreifer durch Manipulation von Kubernetes-Proxy-Responses Accounts übernehmen. Im zweiten Fall sind DoS-Attacken vorstellbar.

Die verbleibenden Lücken sind mit "mittel" und "niedrig" eingestuft. Hier sind Zugriffe auf eigentlich abgeschirmte Informationen möglich (CVE-2024-10043). Die Entwickler raten zu einem zügigen Update. Bislang gibt es keine Berichte über laufende Attacken.

Verschiedene Computer von Dell sind verwundbar. Das geht in erster Linie auf Sicherheitslücken in Treibern zurück. Aber auch Docks und Software wie Avamar sind angreifbar. Patches sollen die Sicherheitsprobleme lösen.

Anzeige

Setzen Angreifer an mehreren Schwachstellen im Realtek-PCIe-Memory-Card-Reader-Treiber an, können sie unter anderem auf Speicherbereiche des Kernels zugreifen (CVE-2024-40431, Risiko "hoch"). Davon sind mehrere Modelle der Laptop-Serien Latitude, Precision und XPS betroffen. In einer Warnmeldung geben die Entwickler an, die Treiberversion 10.0.26100.21374 abgesichert zu haben.

Eine Lücke (CVE-2024-44074 "hoch") im Realtek-High-Definition-Audio-Treiber macht mehrere Alienware-Modelle angreifbar. Hier kann Schadcode auf Systeme gelangen. Die betroffenen PCs listet der Computerhersteller in einem weiteren Beitrag auf.

Verschiedene Docks können als Einfallstor für Angreifer dienen. Durch die Schwachstelle (CVE-2024-52537 "mittel") könne sie sich unter bestimmten Bedienungen höhere Rechte verschaffen. Die bedrohten Geräte und verfügbaren Sicherheitsupdates sind in einer Warnmeldung aufgelistet.

Dass eine Technik Fluch und Segen zugleich sein kann, wird etwa bei Tracking-Netzwerken besonders deutlich: Bösartige Individuen können damit kriminelle Machenschaften vorbereiten oder Menschen stalken, in den richtigen Händen schützt das jedoch etwa das Eigentum und hilft, es wieder aufzufinden. Google verbessert nun den Schutz in Android vor unerwünschter Nachverfolgung.

Anzeige

Vor unbekannten Trackern, die mitreisen, kann Android bereits seit über einem Jahr warnen.

(Bild: Google)

In einem Blog-Beitrag erklären Googles Entwickler, dass sie neue Funktionen in Android integrieren, um unerwünschtes Bluetooth-Tracking auszuhebeln. Android kennt die Funktion, vor unbekannten Trackern zu warnen, die in der Nähe mitreisen – bereits seit Mitte 2023. Neu sind nun Funktionen, um auf solche Warnungen zu reagieren.

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit. Frank Ully gilt als ausgewiesener Experte auf seinem Gebiet und verfügt über zahlreiche Zertifikate wie Offensive Security Certified Expert (OSCE), Offensive Security Certified Professional (OSCP), Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM).

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Rund 30.000 Geräte sind deutschlandweit mit der Malware BadBox infiziert. Dazu zählen Internet-of-Things-Geräte wie digitale Bilderrahmen oder Mediaplayer – die waren ab Werk mit der Schadsoftware ausgestattet; es sollen aber auch Smartphones und Tablets auf internationaler Ebene betroffen sein. Deren Kommunikation mit den Command-and-Control-Servern der kriminellen Hintermänner konnte das BSI nun unterbrechen.

Anzeige

Das BSI teilt am Donnerstag der Woche mit, dass in allen dem BSI bekannten Fällen bereits beim Kauf auf den jeweiligen Geräten – die typischerweise mit veralteten Android-Versionen daherkommen – die BadBox-Malware installiert war. Die Malware bietet eine Reihe Funktionen für die Drahtzieher an, mit denen sie Schaden anrichten können.

BadBox kann unbemerkt Konten für E-Mail- und Messenger-Dienste erstellen, über die etwa Fake-News verbreitet werden. Werbebetrug hat die Malware ebenfalls als Funktion eingebaut; sie kann im Hintergrund Webseiten ansurfen. Sie kann zudem als sogenannter Residential Proxy dienen, wodurch meist Kriminelle ihre Herkunft verschleiern. Die führen darüber dann illegale Aktionen wie Cyberangriffe oder Verbreitung illegaler Inhalte aus. Ins Visier von Strafverfolgern landen dann die IP-Adressen derjenigen, die solche infizierten Geräte betreiben.

Das BSI konnte nun mit einer sogenannten Sinkholing-Maßnahme die Kommunikation zwischen infizierten Geräten und Kontrollservern abwürgen. Dabei registriert die Behörde die für die Kommunikation der Malware genutzten Domains und leitet die Nachrichten auf eigene Server um.

Produkte "mit digitalen Elementen" wie Software dürfen in der EU bald nur noch auf den Markt kommen, wenn sie Mindestanforderungen an Cybersicherheit einhalten. Dies sieht der Cyber Resilience Act (CRA) vor, der am Mittwoch in Kraft getreten ist. Hersteller haben damit bis zu 36 Monate – also bis zum Dezember 2027 – Zeit, vernetzte Produkte an die neuen Vorgaben anzupassen. Diese müssen dann in der Regel mindestens fünf Jahre lang mit Sicherheitsupdates versorgt werden. Den Herstellern obliegt es, über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren Cybersicherheit zu übernehmen ("Security by Design"). Die Verordnung zur Cyber-Widerstandsfähigkeit verpflichtet auch Importeure und den Handel. Produkte, die das bekannte CE-Kennzeichen tragen, müssen künftig generell gegen IT-Angriffe gesichert sein.

Anzeige

Bereits ab September 2026 müssen EU-Hersteller zudem aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle im Zusammenhang mit ihren digitalen Produkten den zuständigen Behörden wie hierzulande dem Computer Security Incident Response Team (CSIRT) des Bundesamts für Sicherheit in der Informationstechnik (BSI) melden. Die Liste der erfassten Geräteklassen und Software ist lang. Sie reicht von Computern und Servern über Babyphones bis zu "smarten" Türklingeln. Ein Schwerpunkt liegt auf dem Internet der Dinge sowie auf "Plaste-Routern", die aufgrund vieler eingebauter Sicherheitslücken bislang häufig einfach angreifbar sind. Das reine Verfügbarmachen von Open-Source-Software wird nicht erfasst, solange die Hersteller damit keinen Gewinn erzielen wollen. Ausgenommen ist auch freie Software, die von einer öffentlichen Verwaltung ausschließlich für die eigene Verwendung entwickelt wird.

Beim CRA handelt es sich um eine Verordnung, die im Rahmen der vorgesehenen Übergangsfristen direkt in allen EU-Mitgliedsstaaten Geltung erlangt. Die Politik muss hierzulande aber etwa noch eine nationalen Marktaufsichtsbehörde benennen, die die Einhaltung der Vorgaben durch Hersteller und Händler gewährleistet. Dafür bringt sich das BSI in Stellung. "Als zentrale Cybersicherheitsbehörde des Bundes verfügen wir über umfassende Erfahrung mit Blick auf die Absicherung digitaler Produkte und Prozesse", betont der Vizepräsident des Bonner Amtes, Gerhard Schabhüser.

Die produktbezogenen Anforderungen des CRA und des vom BSI vergebenen IT-Sicherheitskennzeichens deckten sich auch bereits zu großen Teilen. Um die Anforderungen der Verordnung plastisch zu machen, hat das Amt eine technische Richtlinie (TR-03183) veröffentlicht. Bereits am Sonntag ist die reformierte Produkthaftungsrichtlinie in Kraft getreten, die Schadenersatzansprüche bei fehlerhaften Artikeln auch im IT-Bereich vorsieht.

Eine Sicherheitslücke in einer Komponente der Windows-Version des TeamViewer-Clients gefährdet PCs. Die Entwickler versichern, dass sich das Sicherheitsupdate automatisch installiert.

Anzeige

Basierend auf einer Warnmeldung ist die Komponente TeamViewer Patch & Asset Management angreifbar (CVE-2024-12363 "hoch"). Die Komponente ist aber standardmäßig nicht installiert. Sie ist optional im Kontext des Remote-Management-Features installierbar. Wird das nicht genutzt, sind PCs auch nicht verwundbar.

Die Entwickler geben an, die Komponente in der Ausgabe 24.12 repariert zu haben. Dieser Sicherheitspatch soll sich automatisch installieren, sodass Anwender nichts unternehmen müssen.

Vor dieser Version konnten lokale Angreifer an der Lücke ansetzen und unter Windows beliebige Dateien löschen. Wie das im Detail vonstattengeht und ob es bereits Attacken gegeben hat, ist bislang nicht bekannt.

iPhone-, Mac- und iPad-Nutzer können ihre Geräte auf den neuesten Software-Stand bringen und damit eine längere Liste an Sicherheitslücken in den Apple-Betriebssystemen ausräumen. Für iPhones liegt seit Mittwochabend iOS in Version 18.2 vor, für iPads wieder iPadOS 18.2.

Anzeige

Nutzer, die noch auf iOS 17 verharren, sollten das Upgrade jetzt ebenfalls durchführen: Für das Betriebssystem gibt es offenbar keine weiteren Patches mehr, sie verharren auf Stand 17.7.2 aus dem November. Apple drängt inzwischen bereits zum Umstieg auf iOS 18.

Im Unterschied zu iOS 17 gibt es für iPadOS 17 eine frische Version 17.7.3 mit Sicherheitsfixes. Diese ist allerdings rein für iPad-Modellreihen gedacht, die sich nicht auf iPadOS 18 aktualisieren lassen. Das sind das iPad Pro 10,5", das iPad Pro 12,9" der zweiten Generation und das iPad 6. Auf allen neueren iPads muss Version 18 eingespielt werden, um die jüngsten sicherheitsrelevanten Fehlerbehebungen zu erhalten.

Ein konkretes Update-Versprechen für iOS, iPadOS und macOS gibt es bei Apple nicht. Ältere iOS-Versionen erhalten mitunter auch noch Patches, wenn sehr gravierende Schwachstellen bekannt werden – allerdings nur für Hardware, die von den neueren Betriebssystemversionen nicht mehr unterstützt wird. Sämtliche bekannten Lücken schließt Apple wohlgemerkt nur in den allerneuesten Versionen seiner Betriebssysteme.

Microsoft beendet die Unterstützung für die populären Apps Windows Kalender, Windows Kontakte und Windows Mail zum 31. Dezember dieses Jahres. Nutzerinnen und Nutzern dient Microsoft als Ersatz das neue Outlook an.

Anzeige

Ein Support-Artikel von Microsoft erklärt das Support-Ende und dessen Auswirkungen. "Die Unterstützung für Windows Mail, Kalender und Kontakte wird am 31. Dezember 2024 enden", schreibt Microsoft dort. Man sei derzeit im Prozess, bestehende Nutzerinnen und Nutzer auf das neue Outlook für Windows umzuziehen.

Nach dem 31. Dezember werden User nicht mehr in der Lage sein, mit Windows Mail und Kalender Mails zu senden oder zu empfangen. "Jede lokale E-Mail, jeder Kalendereintrag und gespeicherte Kontakte in Mail, Kalender und Kontakte bleibt exportierbar, wenn User den Schritten" der Anleitung folgten, erklärt Microsoft weiter. Daher sollen Nutzerinnen und Nutzer auf das neue Outlook umsteigen. Durch einen Schalter in den Einstellungen unter "Allgemein" - "Über Outlook" lasse sich dann bei Bedarf wieder zu Windows Mail und Kalender zurückkehren.

Das Support-Ende bedeutet jedoch auch, dass Microsoft keine Sicherheitsupdates für die Windows-Apps bereitstellen wird. Ein Wechsel auf unterstützte Anwendungen ist daher sinnvoll.

Aufgrund einer Sicherheitslücke im Epic Games Launcher können Angreifer ihre Rechte im System ausweiten. Eine Aktualisierung steht bereit, die Nutzerinnen und Nutzer von Epic-Spielen anwenden sollten. Wer Epic-Games-Spiele unter Windows nutzt, sollte den Epic Games Launcher gegebenenfalls starten und davon angebotene Updates installieren.

Anzeige

Die Sicherheitslücke wurde von Trend Micros Zero-Day-Initiave entdeckt. Der Produkt-Installer des Epic Game Launchers vergibt falsche Berechtigungen auf einen sensiblen Ordner, erklärt der CVE-Eintrag zur Schwachstelle. Dadurch können Angreifer mit niedrigen Rechten am System beliebigen Code im SYSTEM-Kontext ausführen (CVE-2024-11872, CVSS 7.8, Risiko "hoch").

Die Entwickler haben eine neue Version des betroffenen Epic Games Launchers veröffentlicht und die Schwachstelle darin ausgebessert. Version 17.2.0 soll automatisch im Hintergrund heruntergeladen werden, schreiben sie in einem Trello-Eintrag. Das Update lasse sich dann installieren, indem Nutzerinnen und Nutzer im Einstellungsmenü auf "Restart and Update" klicken. Sofern die Installation nicht manuell angestoßen wird, soll sie beim nächsten Start der Software automatisch installiert werden.

Nach dem Download des Updates könne auch ein Pop-up erscheinen. Die Aktualisierung lässt sich dann durch Klick auf die "Update"-Schaltfläche anwenden, erklären die Entwickler. Ein Missbrauch der Sicherheitslücke in freier Wildbahn ist Epic Games demnach bislang nicht bekannt.

In der modernen IT-Landschaft sind Containerisierung und deren Automatisierung mittels Kubernetes unverzichtbar. Dabei ist die Einrichtung eines Kubernetes-Clusters nur der erste Schritt. Um die komplexe Umgebung effizient und sicher zu verwalten, sind spezialisierte Kenntnisse und Fähigkeiten erforderlich.

Anzeige

Im iX-Workshop Fortgeschrittene Kubernetes-Administration werden Sie in die Feinheiten des fortgeschrittenen Applikationsmanagements eingeführt und lernen, wie Sie Service-Mesh-Technologien implementieren und verwalten können. Zudem lernen Sie Methoden und Techniken für den nachhaltigen und sicheren Betrieb von Kubernetes-Clustern. Ein besonderer Schwerpunkt liegt auf den neuesten Sicherheitstechnologien und Best Practices, die dazu beitragen, Kubernetes-Umgebungen gegen potenzielle Bedrohungen abzusichern, sowie auf dem sicheren Umgang mit sensiblen Informationen, den sogenannten Secrets.

Der Workshop ist interaktiv gestaltet. In zahlreichen Übungen können Sie die vorgestellten Konzepte und Techniken anwenden und vertiefen. Dabei geht es unter anderem um die Bereitstellung von Applikationen im Container, Zugriffsberechtigungen auf die Kubernetes API, Sicherheitseinstellungen für den Kubernetes-Cluster und den Einsatz von Service Mesh in Projekten.

Von diesem Workshop profitieren vor allem IT-Profis, die tiefer in die Administration und Konfiguration von Kubernetes einsteigen und ihre Kubernetes-Umgebung stabil und sicher betreiben möchten. Er baut auf den Grundlagen auf und ist die ideale Ergänzung für alle, die Kubernetes bereits im Einsatz haben und an ihre Grenzen stoßen.

Der Bundesrechnungshof hat Bemerkungen zur Haushalts- und Wirtschaftsführung an den Bundesrat, Bundestag und Bundesregierung geschickt. Darin bemängelt die Behörde unter anderem, dass "einsatzwichtige IT-Services" der Bundeswehr gefährdet seien.

Anzeige

Die Beamten erörtern, dass das Bundesministerium der Verteidigung (BMVg) nicht sicherstelle, "dass es wichtige Daten für militärische Zwecke verlässlich bereitstellen kann, auch im Krisenfall." Es betreibe "ein Rechenzentrum für einsatzwichtige IT-Services lediglich an einem Standort – und damit nicht georedundant", führen sie weiter aus. Da es damit "die Bedrohungslage im Falle von Cyberangriffen, Sabotageakten oder Naturkatastrophen" vernachlässige, gefährde das BMVg die Einsatzbereitschaft der Bundeswehr.

Das Verteidigungsministerium weiche zudem "von eigenen Vorgaben und denen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ab". Die Ausgabenkontrolleure erklären: "Das BSI als nationale Cyber-Sicherheitsbehörde empfiehlt eine Mindestentfernung von 100 km für Georedundanz – und damit eine belastbare Ausfallsicherheit beim Betrieb von Rechenzentren". Falle "ein Standort aus, stehen die IT-Services an einem anderen Standort identisch in kürzester Zeit bereit."

Daher müsse das BMVg "belastbar planen, wie und bis wann es den georedundanten Betrieb des Rechenzentrums sicherstellen kann", fordern die Beamten. Andernfalls riskiere das Verteidigungsministerium, dass IT-Services für Waffensysteme im Einsatzfall nicht nutzbar seien.

In einer weltweiten Zusammenarbeit haben Strafverfolger zum Jahresende eine weihnachtliche "Urlaubstradition" von Cyberkriminellen verhindert, das Starten von Distributed-Denial-of-Service-Attacken auf Webseiten (DDoS), um diese quasi Offline zu nehmen, erörtern die Europol-Beamten leicht süffisant. Das sei im Rahmen der internationalen Operation "PowerOFF" erfolgt. Insgesamt 27 der populärsten Plattformen zum Ausführen solcher Attacken haben die Behörden nun beschlagnahmt.

Anzeige

Diese Plattformen seien auch als "Booter" oder "Stresser" bekannt, erklären die Beamten. Sie ermöglichen Kriminellen und Hacktivisten, Ziele mit illegalem Traffic zu fluten, wodurch Webseiten und andere webbasierte Dienste nicht mehr erreichbar sind. Jetzt sei eine vielseitige Operation gelaufen, bei der Europol Strafverfolger aus 15 Ländern koordiniert hat, die alle Ebenen dieser kriminellen Machenschaften zum Ziel hatten.

Zu den offline genommenen Booter- und Stresser-Websites gehören zdstresser.net, orbitalstress.net und starkstresser.net. Drei Administratoren wurden zudem in Deutschland und Frankreich verhaftet. Weiterhin konnten mehr als 300 Nutzerinnen und Nutzer identifiziert werden, die Operationen auf den Plattformen planten, schreibt Europol.

Die Operation PowerOFF legt nicht nur einen Schwerpunkt auf das Auseinandernehmen von Infrastruktur, die die Angreifer nutzen, sondern arbeitet auch proaktiv an der Verhinderung weiterer Vorfälle. Die Strafverfolger starten dazu Werbekampagnen, die sich an Individuen richten, die in solche Aktivitäten verwickelt sind. Die Kampagne soll die Konsequenzen der DDoS-Attacken hervorheben und gezielt potenzielle Straftäter erreichen, wenn sie am aktivsten sind, nämlich online. Dazu setzen die Beamten auf Google- und Youtube-Werbung.

Wie verhält man sich am effektivsten, wenn sich Angreifer bereits im Firmennetzwerk ausbreiten? Wer hilft eigentlich KMUs bei der Umsetzung der NIS2-Richtlinie? Welche Rolle spielt KI im aktuellen Bedrohungsszenario? Diese und viele weitere Fragen klären die Referenten auf der secIT 2025 im kommenden März in Hannover.

Anzeige

Die secIT startet am 18. März 2025 mit Ganztagsworkshops und am 19. und 20. März ist die Messe und Konferenz geöffnet. Die Kongressmesse findet im Hannover Congress Centrum (HCC) statt. Wer bereit ist, seine Daten mit dem Veranstalter und den Partnern zu teilen, bekommt im Ticketshop ein Gratis-Ticket. Wer das nicht möchte, zahlt bis zum 15. Februar für einen Tag 79 Euro und für beide Tage 119 Euro. Danach werden 99 beziehungsweise 139 Euro fällig. Workshops muss man kostenpflichtig im Ticketshop buchen.

Ab sofort ist der Großteil des Programms online einsehbar. Den Hauptanteil der Themen und Referenten haben die Redaktionen von c't, heise security und iX ausgewählt. Diese Vorträge und Workshops sind garantiert werbefrei und vermitteln verständlich und hilfreiche Fakten, die Admins direkt in ihren Unternehmen für mehr Sicherheit umsetzen können.

Volker Kozok, Vorsitzender des Vereins „Netzwerk für Cyber Intelligence e.V.“, zeigt in seiner Abschlusskeynote aktuelle aus KI resultierende Bedrohungen auf.

Ein chinesischer Staatsangehöriger wird von den USA beschuldigt, an der Entwicklung von Exploits für Sicherheitslücken in Sophos-Produkten mitgewirkt zu haben. Der 30-Jährige wird nun steckbrieflich vom FBI gesucht, das bis zu zehn Millionen US-Dollar für Hinweise zahlt, die zu seiner Ergreifung führen. Er soll gemeinsam mit anderen Mitarbeitern einer chinesischen IT-Firma über 80.000 Sophos-Firewalls angegriffen haben.

Anzeige

Am Bezirksgericht im Norden des US-Bundesstaats Indiana erheben die Vereinigten Staaten Anklage gegen Tianfeng G., der bei "Sichuan Silence Technology Company Ltd." arbeiten soll. Die Firma entwickle und verkaufe Exploits an verschiedene chinesische Regierungseinrichtungen, so die Anklageschrift. Der Verdächtige habe zusammen mit seinen Komplizen eine Sicherheitslücke in Sophos-Geräten gefunden (CVE-2020-12271), auf über 81.000 Geräten weltweit ausgenutzt und Daten abgefischt. Auch Ransomware hätten die Angreifer eingesetzt.

Die genannte Sicherheitslücke, eine SQL Injection, ermöglichte den Angreifern, beliebige Kommandos auf Sophos-Geräten auszuführen und sie mit einer Hintertür auszustatten. Die Malware mit dem Spitznamen "Asnarök" stahl dann Zugangsdaten und VPN-Informationen von den Geräten. Ihren mythologisch anmutenden Namen verdankt die Schadsoftware einer Domain, die bei den Angriffen auftauchte und "ragnarokfromasgard.com" hieß.

Tianfeng G. wird als einziger Verdächtiger namentlich in der Anklageschrift genannt. Womöglich tauchte sein Name im Zusammenhang mit der Registrierung mehrerer Sophos-Firewalls beim Hersteller auf, denn deren Beschaffung im Februar 2020 wirft das US-Gericht ihm nun vor. Auf Hinweise zu den Tatverdächtigen und der chinesischen Exploit-Schmiede setzt das FBI eine Belohnung von bis zu zehn Millionen US-Dollar (gut 9,5 Millionen Euro) aus.