2024年12月10日,美国财政部外国资产控制办公室 (OFAC) 对中华人民共和国 (PRC) 的网络安全公司四川沉默信息技术有限公司 (Sichuan Silence) 及其一名员工关天峰 (Guan) 实施制裁,因为他们在 2020 年 4 月全球数以万计的防火墙遭到入侵中发挥了作用。许多受害者是美国的关键基础设施公司。
正如美国国家情报总监办公室发布的 2024 年年度威胁评估所强调的那样,恶意网络行为者,包括那些在中国活动的行为者,仍然是对美国国家安全的最大和最持久的威胁之一。
“今天的行动突显了我们致力于揭露这些恶意网络活动——其中许多活动�对我们的社区和公民构成重大风险——并追究其背后的行为者对其计划的责任,”财政部负责恐怖主义和金融情报的代理副部长布拉德利·史密斯 (Bradley T. Smith) 说。“作为美国政府应对网络威胁的协调方法的一部分,财政部将继续利用我们的工具来阻止恶意网络行为者破坏我们关键基础设施的企图。”
今天,美国司法部 (DOJ) 公布了对关的相同活动的起诉书。此外,美国国务院宣布了一项高达 1000 万美元的正义奖励计划,以奖励有关四川沉默或关的信息。
2020 年 4 月防火墙入侵
关天峰在防火墙产品中发现了一个零日漏洞。零日漏洞利用是计算机软件或硬件产品中以前未知的漏洞,可用于网络攻击。2020 年 4 月 22 日至 25 日期间,关天峰利用这个零日漏洞将恶意软件部署到全球数千家企业拥有的大约 81,000 个防火墙中。该漏洞利用的目的是使用受感染的防火墙来窃取数据,包括用户名和密码。然而,Guan 还试图用 Ragnarok 勒索软件变体感染受害者的系统。如果受害者试图补救危害,此勒索软件会禁用防病毒软件并加密受害者网络上的计算机。
超过 23,000 个受感染的防火墙位于美国。在这些防火墙中,有 36 个用于保护美国关键基础设施公司的系统。如果这些受害者中的任何一个未能修补他们的系统以减轻漏洞利用,或者网络安全措施没有识别并迅速补救入侵,那么 Ragnarok 勒索软件攻击的潜在影响可能会导致严重伤害或人员伤亡。一名受害者是一家美国能源公司,该公司在泄露时积极参与钻探作业。如果未检测到这种入侵,��并且没有挫败勒索软件攻击,则可能导致石油钻井平台发生故障,从而可能造成人员生命的重大损失。
关天峰与四川沉默
关是中国公民,在泄露事件发生时是 Sichuan Silence 的安全研究员。Guan 代表 Sichuan Silence 参加了网络安全锦标赛,并在漏洞和漏洞利用论坛上发布了最近发现的零日漏洞,包括以他的绰号GbigMao 发布。Guan 对 2020 年 4 月的防火墙入侵负责。
Sichuan Silence 是一家总部位于成都的网络安全政府承包商,其核心客户是中国情报机构。四川无声为这些客户提供计算机网络利用、电子邮件监控、暴力破解密码、舆情抑制等产品和服务。此外,Sichuan Silence 还为这些客户提供旨在探测和利用目标网络路由器的设备。关在 2020 年 4 月的防火墙入侵中使用的预定�位设备实际上归他的雇主 Sichuan Silence 所有。
OFAC 根据经 13757 号行政命令修订的第 13694 号行政命令 (E.O.) 将四川沉默关公司认定为负责或共谋,或参与直接或间接源自美国或大部分位于美国境外的人员或由其指导的网络活动,这些活动有理由可能导致: 或对美国的国家安全、外交政策、经济健康或金融稳定构成重大威胁,并且具有损害或以其他方式严重损害支持关键基础设施部门中一个或多个实体的计算机或计算机网络提供服务的目的或效果。
制裁影响
由于今天的行动,上述被指认人士在美国境内或由美国人拥有或控制的所有财产和财产权益均被冻结,必须向 OFAC 报告。此外,一个或多个被封锁者直接或间接、单独或合计拥有 50% 或以上的任何实体也会被封锁。除非获得 OFAC 颁发的通用或特定许可证的授权或豁免,否则 OFAC 的法规通常禁止美国人或在美国境内(或过境)进行涉及指定或其他被冻结人员的任何财产或财产权益的所有交易。
此外,与受制裁实体和个人进行某些交易或活动的金融机构和其他人员可能会受到制裁或受到执法行动。这些禁令包括由任何指定人员提供任何指定人员、向任何指定人员提供资金、商品或服务,或为任何指定人员的利益提供任何资金、商品或服务,或接受任何此类人员的任何捐款或提供资金、商品或服务。
OFAC 制裁的力度和完整性不仅源于 OFAC 能够指定人员并将其添加到特别指定国民和被封锁人员(SDN) 名单中,还在于其愿意依法将人员从 SDN 名单中删除。制裁的最终目标不是惩罚,而是带来行为的积极变化。