Ein chinesischer Staatsangehöriger wird von den USA beschuldigt, an der Entwicklung von Exploits für Sicherheitslücken in Sophos-Produkten mitgewirkt zu haben. Der 30-Jährige wird nun steckbrieflich vom FBI gesucht, das bis zu zehn Millionen US-Dollar für Hinweise zahlt, die zu seiner Ergreifung führen. Er soll gemeinsam mit anderen Mitarbeitern einer chinesischen IT-Firma über 80.000 Sophos-Firewalls angegriffen haben.
Anzeige
Am Bezirksgericht im Norden des US-Bundesstaats Indiana erheben die Vereinigten Staaten Anklage gegen Tianfeng G., der bei "Sichuan Silence Technology Company Ltd." arbeiten soll. Die Firma entwickle und verkaufe Exploits an verschiedene chinesische Regierungseinrichtungen, so die Anklageschrift. Der Verdächtige habe zusammen mit seinen Komplizen eine Sicherheitslücke in Sophos-Geräten gefunden (CVE-2020-12271), auf über 81.000 Geräten weltweit ausgenutzt und Daten abgefischt. Auch Ransomware hätten die Angreifer eingesetzt.
Die genannte Sicherheitslücke, eine SQL Injection, ermöglichte den Angreifern, beliebige Kommandos auf Sophos-Geräten auszuführen und sie mit einer Hintertür auszustatten. Die Malware mit dem Spitznamen "Asnarök" stahl dann Zugangsdaten und VPN-Informationen von den Geräten. Ihren mythologisch anmutenden Namen verdankt die Schadsoftware einer Domain, die bei den Angriffen auftauchte und "ragnarokfromasgard.com" hieß.
Tianfeng G. wird als einziger Verdächtiger namentlich in der Anklageschrift genannt. Womöglich tauchte sein Name im Zusammenhang mit der Registrierung mehrerer Sophos-Firewalls beim Hersteller auf, denn deren Beschaffung im Februar 2020 wirft das US-Gericht ihm nun vor. Auf Hinweise zu den Tatverdächtigen und der chinesischen Exploit-Schmiede setzt das FBI eine Belohnung von bis zu zehn Millionen US-Dollar (gut 9,5 Millionen Euro) aus.
Zudem verhängt die US-Regierung wirtschaftliche Sanktionen: Sowohl Tianfeng G. als auch die Firma "Sichuan Silence" stehen seit dem 10. Dezember auf der SDN-Liste ("Specially Designated Nationals") des US-Finanzministeriums. Dies bedeutet, dass diese Person oder Organisation als Bedrohung für die nationale Sicherheit, Außenpolitik oder Wirtschaft der Vereinigten Staaten eingestuft wurde. Als Konsequenz werden die Vermögenswerte dieser Personen oder Organisationen in den USA eingefroren, und es ist US-Bürgern sowie vielen internationalen Unternehmen generell untersagt, mit ihnen Geschäfte zu tätigen oder in irgendeiner Form zu interagieren.
Anzeige
Sophos hatte die Entwickler des "Asnarök"-Angriffs in einem jahrelangen Katz-und-Maus-Spiel gejagt und der Öffentlichkeit kürzlich die Ergebnisse der eigenen Ermittlungen unter dem Codenamen "Pacific Rim" präsentiert. In denen hatte Sophos zwar den mutmaßlichen Entwickler des Exploits identifiziert, aber noch keine Beweise für die jetzt von den US-Behörden postulierte Zusammenarbeit mit den tatsächlichen Angreifern gefunden. Das Vorgehen des britischen Herstellers, die eigenen Geräte mit Spionagefunktionen zu versehen, stieß dabei auch auf Kritik. heise-security-Chef Jürgen Schmidt etwa konstatierte in einem Kommentar: "Das nennt man normalerweise Malware".
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden
Kommentare