Skoordynowane uderzenie w 22 duńskie firmy energetyczne

W ramach uderzenia, które miało miejsce w maju 2023 r., hakerzy w ciągu kilku dni włamali się do organizacji ofiar. Jest to największy jak dotąd atak na duńską infrastrukturę krytyczną.

„Dania jest stale atakowana. Niezwykłe jest jednak to, że obserwujemy tak wiele jednoczesnych, skutecznych ataków na infrastrukturę krytyczną. Napastnicy z góry wiedzieli, kto będzie ich celem, i za każdym razem im się powiodło” – zauważa SektorCERT w raporcie.

W ramach ataków hakerzy wykorzystali wiele luk w zabezpieczeniach zapór sieciowych Zyxel w celu uzyskania początkowego dostępu, wykonania kodu i uzyskania pełnej kontroli nad systemami.

11 maja cyberprzestępcy podjęli działania przeciwko 16 duńskim organizacjom energetycznym. W atakach wykorzystali CVE-2023-28771 (wynik CVSS 9,8), krytyczne wykonanie polecenia systemu operacyjnego w zaporach sieciowych ATP, USG FLEX, VPN i ZyWALL/USG firmy Zyxel, które wyszło na jaw pod koniec kwietnia.

Atakującym udało się złamać zabezpieczenia 11 organizacji, wykonując polecenia na podatnych zaporach sieciowych, aby uzyskać konfigurację urządzeń i nazw użytkowników. Jak podaje SektorCERT, atak został odparty w ciągu jednego dnia, a wszystkie sieci zostały zabezpieczone.

Drugą falę ataków zaobserwowano 22 maja. Obejmowała nowe narzędzia i wykorzystanie dwóch luk dnia zerowego w urządzeniach Zyxel.

Błędy, oznaczone jako CVE-2023-33009 i CVE-2023-33010, zostały załatane 24 maja. Tego samego dnia napastnicy zaczęli atakować wiele duńskich firm energetycznych przy użyciu różnych ładunków i exploitów, a dzień później kontynuowali atak.

SektorCERT twierdzi, że współpracował z organizacjami w Danii, aby zastosować dostępne łatki i zabezpieczyć zaatakowane sieci natychmiast po zidentyfikowaniu uderzenia.

Organizacja zajmująca się cyberbezpieczeństwem zauważa również, że w co najmniej jednym z ataków zaobserwowała aktywność powiązaną z Sandwormem, sponsorowanym przez państwo rosyjskim ugrupowaniem „zaawansowanego trwałego zagrożenia” (APT) związanym z wojskową agencją szpiegowską GRU.

„W ciągu trzech lat działalności SektorCERT nigdy nie widzieliśmy oznak wskazujących, że te grupy APT zaatakowały duńską infrastrukturę krytyczną. Ich działalność jest zwykle zarezerwowana dla celów, które państwa, dla których pracują, chcą zakłócić z różnych względów politycznych lub militarnych” – zauważył SektorCERT.

W trakcie kampanii niektóre podatne na ataki zapory sieciowe zostały zainfekowane botem Mirai, a następnie zostały wykorzystane w rozproszonych atakach typu „odmowa usługi” (DDoS) na podmioty w USA i Hongkongu.

„Po tym, jak około 30 maja kod exploita dla niektórych luk stał się publicznie znany, nastąpiła eksplozja prób ataków na duńską infrastrukturę krytyczną – zwłaszcza z adresów IP w Polsce i na Ukrainie”.

W swoim raporcie SektorCERT szczegółowo opisuje harmonogram ataków, a także szereg zaleceń dla organizacji zajmujących się infrastrukturą krytyczną, mających na celu poprawę bezpieczeństwa ich sieci. Raport dostępny jest tutaj.