De Amerikaanse overheid heeft een Chinese man aangeklaagd voor het infecteren van 81.000 Sophos-firewalls met malware en een beloning tot tien miljoen dollar uitgeloofd voor informatie over hem. Voor het compromitteren van de firewalls werd gebruikgemaakt van een op dat moment onbekende kwetsbaarheid, zo stellen de autoriteiten.

Begin 2020 werd bekend dat aanvallers een tot dan toe onbekend SQL injection-lek gebruikten voor het compromitteren van Sophos XG-firewalls, later aangeduid als CVE 2020-12271. Daarbij werd ook geprobeerd om ransomware te verspreiden. Volgens de aanklacht ontwikkelde de verdachte, samen met handlangers, de exploit en malware, waarmee zo'n 81.000 Sophos-firewalls wereldwijd werden geïnfecteerd. Via de malware werd allerlei informatie van de firewalls gestolen.

Om hun activiteiten te verbergen communiceerden de aanvallers via het domein 'sophosfirewallupdate.com' met de besmette firewalls, aldus de aanklacht. Sophos ontdekte de aanval en kwam vervolgens met een oplossing. Daarop besloten de aanvallers hun malware aan te passen en bestanden te versleutelen als slachtoffer de malware probeerden te verwijderen, zo laat het Amerikaanse ministerie van Justitie verder weten. De encryptiepoging mislukte echter.

Naast de aanklacht tegen de verdachte heeft de VS ook sancties genomen tegen het bedrijf waarvoor hij werkzaam was. De onderneming zou ook een rol bij de aanvallen hebben gespeeld, zo stelt het Amerikaanse ministerie van Financiën. Door de sancties worden tegoeden van het bedrijf in de VS bevroren en mogen Amerikaanse bedrijven en personen er geen zaken meer mee doen.