Появились новые подробности майских атак на критическую инфраструктуру Дании
16/01/24
В мае 2023 года Дания столкнулась с кибератакой на свою критическую инфраструктуру. По информации некоммерческого кибербезопасного центра SektorCERT, в результате атак были скомпрометированы 22 организации энергетического сектора.
Согласно отчету SektorCERT, атаки были организованы с использованием уязвимостей в брандмауэрах Zyxel, включая CVE-2023-28771, CVE-2023-33009 и CVE-2023-33010. Дефекты были обнародованы и устранены примерно в то же время.
В докладе упоминалась причастность группы Sandworm, напоминает Securitylab, хотя ранее подобные АРТ-группы не проявляли интереса к датской критической инфраструктуре и к Дании в целом.
Новый анализ, проведенный компанией Forescout, рисует другую перспективу. Их исследование атак, происходивших в две волны с перерывом в несколько недель, показывает, что Sandworm, возможно, не участвовала в кампании.
Первая волна началась 11 мая 2023 года. Злоумышленники эксплуатировали уязвимость CVE-2023-28771, которая была раскрыта за 2 недели до происшествия и взломана за неделю до публикации готового эксплоита. Это указывает на возможную целевую атаку, хотя в Дании насчитывается около 700 уязвимых брандмауэров Zyxel.
Вторая волна атак началась 22 мая, через несколько недель после первой. В ней, по оценке Forescout, участвовали уже другие злоумышленники. Эти инциденты могли быть частью массовой операции по заражению устройств Zyxel с помощью ботнета Mirai.
По сути, вся зафиксированная Forescout активность против Zyxel в указанный период включала эксплуатацию CVE-2023-28771. Нападения на датские организации не были исключением.
По мнению исследователей, первая и вторая волны атак не связаны между собой. Хотя датский энергетический сектор и пострадал, это, скорее всего, произошло случайно.
Что касается первой волны, она выглядит более изощренной и целенаправленной. Однако Forescout не нашла прямых указаний на участие группы Sandworm.
Компания отмечает, что в глобальном масштабе насчитывается более 40 000 брандмауэров Zyxel, доступных из интернета. Многие из них защищают объекты критической инфраструктуры разных стран.