Търсене
Close this search box.

През май 22 датски организации от енергийния сектор бяха компрометирани в резултат на атаки, частично свързани с руската APT Sandworm.

В нов доклад на датската организация с нестопанска цел за сигурност на критичната инфраструктура SektorCERT се описва как различни групи нападатели са използвали множество критични уязвимости в устройствата за защитна стена Zyxel, включително два „нулеви дни“, за да достигнат до промишлени машини, принуждавайки някои цели да се „изолират“, отделяйки ги от останалата част от националната мрежа.

Някои, но не всички пробиви са свързани с комуникации със сървъри, за които е известно, че се използват от Sandworm – група, която се страхува от многобройните си предишни атаки срещу мрежата.

Но не само APT на държавно ниво са насочени към енергийния сектор. В неотдавнашен доклад на компанията за киберсигурност Resecurity се описва голям ръст на атаките в енергийния сектор от страна на киберпрестъпни групи, които изглежда също са изиграли роля в атаките в Дания.

„Националните APT са най-големите заплахи, насочени към енергетиката, тъй като чуждестранните разузнавателни агенции ще я използват като инструмент за влияние върху икономиката и националната сигурност на страните“, обяснява Джийн Ю, главен изпълнителен директор на Resecurity. Той обаче добавя, че „киберпрестъпниците също играят важна роля в нея, тъй като обикновено те се сдобиват с ниско висящи плодове, като компрометират служители и оператори, включително инженери във веригата за доставки“.

Първата вълна

В края на април Zyxel, компания за комуникационно оборудване, разкри уязвимост за инжектиране на команди, засягаща фърмуера на нейната защитна стена и VPN устройства. На CVE-2023-28771, която позволяваше на всеки нападател да изготвя съобщения за изпълнение на отдалечени, неоторизирани команди на операционната система, беше присвоена оценка 9.8 „Критична“ по CVSS.

Много организации, участващи в експлоатацията на датската електропреносна мрежа, използваха защитни стени Zyxel като буфер между интернет и индустриалните системи за управление – системите, контролиращи надеждността – и критичното за безопасността оборудване. Както припомня SektorCERT, „това беше така нареченият най-лош сценарий“.

„Пилетата се прибраха у дома“ две седмици по-късно, на 11 май. „Нападателите знаеха предварително кого искат да ударят. Нито един изстрел не пропусна целта“, обясниха от SektorCERT. Около 11 енергийни компании бяха компрометирани незабавно, излагайки на риск критичната инфраструктура. В още пет организации нападателите не са успели да придобият контрол.

С помощта на правоприлагащите органи през нощта всички 11 компрометирани компании бяха защитени. Но след това привидно различни нападатели опитаха силите си само 11 дни по-късно.

По-нататъшни, по-сложни атаки

Този път, след като първоначалната уязвимост е била под контрол, нападателите са използвали две нулеви дати – CVE-2023-33009 и CVE-2023-33010, и двете „критични“ грешки при препълване на буфера от версия 9.8 – засягащи същите защитни стени.

От 22 до 25 май те извършиха атаки срещу различни компании от енергийния сектор, като разгърнаха множество различни полезни товари, включително инструмент за DDoS и варианта Moobot на Mirai. SektorCERT прецени, „че нападателите са изпробвали различни полезни товари, за да видят кое ще работи най-добре, поради което са били изтеглени няколко различни такива“.

През този период, по съвет на властите или просто от чувство за предпазливост, множество цели са работили като „остров“, откъснат от останалата част от националната мрежа.

И в някои от тези случаи един-единствен мрежов пакет е бил съобщаван от сървъри, за които е известно, че са свързани със Sandworm. По-специално, по същото време Русия е провеждала и други тайни операции в Дания. Все пак SektorCERT не предостави окончателна информация за причината.

Киберпрестъпниците се включват в акцията

Макар и безпрецедентни в Дания, в световен мащаб атаките на национални държави срещу критични енергийни компании не са нещо ново.

Ю припомня, че „сме наблюдавали множество целенасочени атаки, идващи от Северна Корея и Иран, насочени към сектора на ядрената енергетика, по-специално с цел придобиване на чувствителна интелектуална собственост и информация за персонала и неговия достъп, както и проникване във веригата за доставки“.

Но това не са само национални APT. Към 30 май, седмица след оповестяването на двата нулеви дни, SektorCERT отбеляза, че „опитите за атаки срещу датската критична инфраструктура са експлодирали – особено от IP адреси в Полша и Украйна. Там, където по-рано бяха атакувани отделни, подбрани компании, сега всички бяха обстрелвани с градушка от куршуми – включително защитни стени, които не бяха уязвими“.

„Те виждат високия риск и съответната висока награда“, обяснява Дрю Шмит, ръководител на практиката в GuidePoint Security, за киберпрестъпните формирования. „Тъй като все повече групи като Alphv, Lockbit и други продължават успешно да атакуват енергийния сектор, все повече групи за рансъмуер забелязват потенциалната печалба от насочването и въздействието върху този вид организации. Освен това жертвите в енергийния сектор придават много „уличен авторитет“ на групите, които успешно атакуват тези организации и се измъкват от отговорност.“

Както показа Дания, подобни атаки се спират само когато ефективното наблюдение и защита се съчетаят с партньорство между компаниите и правоприлагащите органи. „В края на краищата това е проблем, който трябва да се решава цялостно и да се координира между множество екипи и инструменти“, заключава Шмит.

 

 

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!