15/11/23
В мае 2023 года Дания пережила серию хакерских атак, которую специалисты окрестили самым серьезным киберинцидентом за всю историю страны. Преступники нацелились на критическую инфраструктуру. Отчёт SektorCERT, датского кибербезопасного агентства, раскрывает, что за короткий промежуток времени нападению подверглись 22 компании. Некоторым пришлось полностью изолировать свои системы, на время отключив их от интернета.
Корень проблемы крылся в уязвимостях брандмауэров Zyxel, которые широко используются организациями, подпадающими под защиту SektorCERT, пишет Securitylab. Дефекты, обнародованные специалистами еще в апреле, позволили злоумышленникам удаленно получить полный контроль над устройствами без аутентификации. В некоторых случаях использовались 0-day уязвимости, неизвестные ранее. Установить виновников до сих пор не удалось.
«Для многих наших членов это стало неожиданностью», — говорится в документе. «Они были убеждены, что поскольку брандмауэр относительно новый, он, вероятно, оснащён последней версией программного обеспечения, а другие ошибочно предполагали, что за обновления отвечает поставщик».
«Некоторые намеренно отказались от обновлений, поскольку их установка стоила денег, хотя само ПО было бесплатным».
«Эти обстоятельства сыграли на руку злоумышленникам и предоставили им несколько недель на проведение атак, даже после того, как SektorCERT через SektorForum предупредила всех членов об угрозе и призвала их обновить системы».
Первая волна нападений началась 11 мая. Пострадали 16 энергетических компаний – для проникновения в их системы хакеры пытались эксплуатировать уязвимость CVE-2023-28771. С 11 организациями этот метод сработал моментально, остальным взлома удалось избежать – возможно, из-за технического сбоя.
Спустя десять дней началась вторая волна. Брандмауэр одной из компаний хакеры попытались подключить к ботнету Mirai, который применяется в DDoS-атаках на США и Гонконг. Угрозу обнаружили, только когда устройство попытались обновить через незащищенное соединение. Есть предположения, что к этому случаю причастна отдельная группа.
Затем были зафиксированы нападения ещё на шесть организаций, также через брандмауэры Zyxel. Некоторые даже не знали, что у них есть такие устройства.
Завершающая серия атак произошла 24 мая. После нее в нескольких машинах были обнаружены признаки продвинутых постоянных угроз (APT). Сетевой трафик был связан с IP-адресом, который ранее использовала известная хакерская группировка. Тем не менее, недостаток прямых доказательств не позволяет однозначно утверждать, что к делу причастна именно она.
Несмотря на масштабность и сложность атак, критическая инфраструктура страны пострадала несущественно. Быстрая реакция экспертов SektorCERT и штатных IT-специалистов помогла минимизировать ущерб.
«Критическая инфраструктура Дании непрерывно сталкивается с кибератаками со стороны иностранных агентов. Поэтому каждому, кто отвечает за функционирование таких учреждений, необходимо уделять особое внимание киберзащите и принимать адекватные меры для предупреждения и устранения угроз», — подчеркивается в отчёте.
