关天烽

关天烽
关天烽
	联邦调查局对关天烽的通缉令
出生	1994年1月17日（30岁）; 中华人民共和国四川省
职业	网络技术员（黑客）
雇主	四川无声信息技术公司
知名于	因利用恶意软件入侵全球数千家公司而被美国联邦调查局悬赏1000万美元

关天烽（1994年1月7日—，又称gbigmao和gxiaomao），中华人民共和国籍黑客，为中国网络安全公司“四川无声信息技术公司”的员工。美国司法部指控其与无声信息涉嫌在2020年4月利用恶意软件入侵全球数千家公司运行的超过80000个防火墙，并在其中部署勒索软件，试图通过加密数据来瘫痪企业网络。联邦调查局悬赏1000万美元，征求有关关天烽、无声信息或其黑客活动的资讯^[1]。

生平

根据美国联邦调查局的通缉令和中国四川自由贸易试验区人民法院的民事裁定书指，关天烽生于1994年1月7日，籍贯四川，居住于成都高新区。至少在2020年4月至7月16日期间，他是无声信息的员工^[1]。

无声信息成立于2000年，是一家总部位于成都高新区的网络安全公司，曾被认定为“中国公安部重大活动网络安全保卫单位”以及“国家重要漏洞平台支撑单位”。关天烽曾代表该公司参与公安部主办的“护网-2018”关键资讯基础设施网络攻防实战演习，获得“最佳攻击队伍”称号^[1]^[2]^[3]。

2020年7月16日，关天烽因劳动争议对无声信息提起民事诉讼，但于8月7日撤诉，并缴纳5元人民币的案件受理费^[4]。

入侵Sophos防火墙

根据美国司法部的指控，2020年4月，受雇于无声信息的关天烽开发和测试一个用于攻击英国网络安全公司Sophos防火墙的零日安全漏洞。涉案的零日漏洞为CVE-2020-12271（此漏洞被Sophos命名为“Asnarok”），其通用漏洞评分系统（CVSS评分）为9.8，这是一个严重的SQL注入漏洞，允许攻击者远端对Sophos防火墙执行任意程式码^[5]^[6]。

在2020年4月22日至25日间，关天峰利用该漏洞对约81000台防火墙发起入侵，影响全球数千家企业。他的目的是窃取机密数据，如用户名和密码。在Sophos发现入侵并在大约两天内修复客户的防火墙后，关天峰修改“Asnarok”的算法，只要删除“Asnarok”，就会部署名为“Ragnarok”的勒索软件变种，以感染受害系统并窃取其中的资料，并将其档案与资料加密。关天峰及其同谋为更好地隐藏他们的活动，其注册并使用看似由Sophos控制的域名，例如“sophosfirewallupdate.com”。在此入侵中，超过23000台美国公司防火墙遭到攻击，其中36台属于美国的关键基础设施公司，另有1台是美国政府部门所使用的防火墙。幸入侵及时发现并阻止，否则会引发重大生产事故^[5]^[6]^[7]。

Sophos首席信息安全官罗斯·麦克查尔在接受《The Hacker News》访问时表示，中国国家级黑客已连续五年对其系统发动攻击。在成功阻止“Asnarok”入侵后，Sophos启动代号为“环太平洋”的独立调查行动，专门针对中国国家力量支缓的黑客活动。行动追溯到攻击来源是无声信息旗下的“双螺旋研究院”，而该攻击与一名化名“GBigMao”的黑客有关，据称此人即为关天烽^[5]^[6]。

通缉及制裁

2024年12月10日，印第安纳州哈蒙德联邦法院起诉关天峰“阴谋实施电脑欺诈”和“阴谋实施电信欺诈”两罪，称其参与2020年阴谋入侵全球防火墙设备^[6]。

美国副司法部长丽莎·摩纳哥表示：“被告及其同谋利用数以万计的网络安全设备中的漏洞，感染这些设备，并设计恶意软件以窃取来自全球受害者的信息。今天的起诉反映司法部承诺与政府和全球合作伙伴合作，检测并追究位于中国或其他地方的恶意网络行为者的责任，这些行为者对全球网络安全构成威胁^[6]。”

而在美国司法部宣布起诉关天烽同时，美国国务院正义奖励计划也宣布悬赏关天烽1000万美金，奖励识别和找到关天烽的人，或任何在外国政府的指示或控制下从事针对特定恶意网络活动之个人的身份或位置的资讯。美国财政部外国资产管制办公室亦于同日宣布对无声信息和关天烽实施制裁^[6]。

参考文献

^ ^1.0 ^1.1 ^1.2 罗昀玫. 美國制裁一家中企涉2020年致命級網攻. 钜亨网. 2024-12-11 [2025-01-05] （中文）.
^ 四川无声信息技术有限公司. 国际智能制造网上博览会. [2025-01-05] （中文）.
^ Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks. home.treasury.gov. [2025-01-05] （英语）.
^ 中國駭客攻全球防火牆！慘被通緝還欠薪美懸賞3.2億逮人. 三立新闻网. 2024-12-17 [2025-01-05] （中文）.
^ ^5.0 ^5.1 ^5.2 Ravie Lakshmanan. US charges Chinese hacker for exploiting zero-day in 81,000 Sophos firewalls. The Hacker News. 2024-12-11 [2025-01-05] （英语）.
^ ^6.0 ^6.1 ^6.2 ^6.3 ^6.4 ^6.5 China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide. Office of Public Affairs. 2024-12-12 [2025-01-06] （英语）.
^ 四川无声信息技术有限公司（Sichuan Silence Information Technology）. rewardsforjustice.net. [2025-01-06] （中文）.

[鉅亨網-1] 1.0 ^1.1 ^1.2 罗昀玫. 美國制裁一家中企涉2020年致命級網攻. 钜亨网. 2024-12-11 [2025-01-05] （中文）.

[2] 四川无声信息技术有限公司. 国际智能制造网上博览会. [2025-01-05] （中文）.

[3] Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks. home.treasury.gov. [2025-01-05] （英语）.

[4] 中國駭客攻全球防火牆！慘被通緝還欠薪美懸賞3.2億逮人. 三立新闻网. 2024-12-17 [2025-01-05] （中文）.

[thehackernews-5] 5.0 ^5.1 ^5.2 Ravie Lakshmanan. US charges Chinese hacker for exploiting zero-day in 81,000 Sophos firewalls. The Hacker News. 2024-12-11 [2025-01-05] （英语）.

[justice-6] 6.0 ^6.1 ^6.2 ^6.3 ^6.4 ^6.5 China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide. Office of Public Affairs. 2024-12-12 [2025-01-06] （英语）.

[7] 四川无声信息技术有限公司（Sichuan Silence Information Technology）. rewardsforjustice.net. [2025-01-06] （中文）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]