През май 22 датски организации от енергийния сектор бяха компрометирани в резултат на атаки, частично свързани с руската APT Sandworm.
В нов доклад на датската организация с нестопанска цел за сигурност на критичната инфраструктура SektorCERT се описва как различни групи нападатели са използвали множество критични уязвимости в устройствата за защитна стена Zyxel, включително два „нулеви дни“, за да достигнат до промишлени машини, принуждавайки някои цели да се „изолират“, отделяйки ги от останалата част от националната мрежа.
Някои, но не всички пробиви са свързани с комуникации със сървъри, за които е известно, че се използват от Sandworm – група, която се страхува от многобройните си предишни атаки срещу мрежата.
Но не само APT на държавно ниво са насочени към енергийния сектор. В неотдавнашен доклад на компанията за киберсигурност Resecurity се описва голям ръст на атаките в енергийния сектор от страна на киберпрестъпни групи, които изглежда също са изиграли роля в атаките в Дания.
„Националните APT са най-големите заплахи, насочени към енергетиката, тъй като чуждестранните разузнавателни агенции ще я използват като инструмент за влияние върху икономиката и националната сигурност на страните“, обяснява Джийн Ю, главен изпълнителен директор на Resecurity. Той обаче добавя, че „киберпрестъпниците също играят важна роля в нея, тъй като обикновено те се сдобиват с ниско висящи плодове, като компрометират служители и оператори, включително инженери във веригата за доставки“.
В края на април Zyxel, компания за комуникационно оборудване, разкри уязвимост за инжектиране на команди, засягаща фърмуера на нейната защитна стена и VPN устройства. На CVE-2023-28771, която позволяваше на всеки нападател да изготвя съобщения за изпълнение на отдалечени, неоторизирани команди на операционната система, беше присвоена оценка 9.8 „Критична“ по CVSS.
Много организации, участващи в експлоатацията на датската електропреносна мрежа, използваха защитни стени Zyxel като буфер между интернет и индустриалните системи за управление – системите, контролиращи надеждността – и критичното за безопасността оборудване. Както припомня SektorCERT, „това беше така нареченият най-лош сценарий“.
„Пилетата се прибраха у дома“ две седмици по-късно, на 11 май. „Нападателите знаеха предварително кого искат да ударят. Нито един изстрел не пропусна целта“, обясниха от SektorCERT. Около 11 енергийни компании бяха компрометирани незабавно, излагайки на риск критичната инфраструктура. В още пет организации нападателите не са успели да придобият контрол.
С помощта на правоприлагащите органи през нощта всички 11 компрометирани компании бяха защитени. Но след това привидно различни нападатели опитаха силите си само 11 дни по-късно.
Този път, след като първоначалната уязвимост е била под контрол, нападателите са използвали две нулеви дати – CVE-2023-33009 и CVE-2023-33010, и двете „критични“ грешки при препълване на буфера от версия 9.8 – засягащи същите защитни стени.
От 22 до 25 май те извършиха атаки срещу различни компании от енергийния сектор, като разгърнаха множество различни полезни товари, включително инструмент за DDoS и варианта Moobot на Mirai. SektorCERT прецени, „че нападателите са изпробвали различни полезни товари, за да видят кое ще работи най-добре, поради което са били изтеглени няколко различни такива“.
През този период, по съвет на властите или просто от чувство за предпазливост, множество цели са работили като „остров“, откъснат от останалата част от националната мрежа.
И в някои от тези случаи един-единствен мрежов пакет е бил съобщаван от сървъри, за които е известно, че са свързани със Sandworm. По-специално, по същото време Русия е провеждала и други тайни операции в Дания. Все пак SektorCERT не предостави окончателна информация за причината.
Макар и безпрецедентни в Дания, в световен мащаб атаките на национални държави срещу критични енергийни компании не са нещо ново.
Ю припомня, че „сме наблюдавали множество целенасочени атаки, идващи от Северна Корея и Иран, насочени към сектора на ядрената енергетика, по-специално с цел придобиване на чувствителна интелектуална собственост и информация за персонала и неговия достъп, както и проникване във веригата за доставки“.
Но това не са само национални APT. Към 30 май, седмица след оповестяването на двата нулеви дни, SektorCERT отбеляза, че „опитите за атаки срещу датската критична инфраструктура са експлодирали – особено от IP адреси в Полша и Украйна. Там, където по-рано бяха атакувани отделни, подбрани компании, сега всички бяха обстрелвани с градушка от куршуми – включително защитни стени, които не бяха уязвими“.
„Те виждат високия риск и съответната висока награда“, обяснява Дрю Шмит, ръководител на практиката в GuidePoint Security, за киберпрестъпните формирования. „Тъй като все повече групи като Alphv, Lockbit и други продължават успешно да атакуват енергийния сектор, все повече групи за рансъмуер забелязват потенциалната печалба от насочването и въздействието върху този вид организации. Освен това жертвите в енергийния сектор придават много „уличен авторитет“ на групите, които успешно атакуват тези организации и се измъкват от отговорност.“
Както показа Дания, подобни атаки се спират само когато ефективното наблюдение и защита се съчетаят с партньорство между компаниите и правоприлагащите органи. „В края на краищата това е проблем, който трябва да се решава цялостно и да се координира между множество екипи и инструменти“, заключава Шмит.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.