Търсене
Close this search box.

Датският енергиен сектор е под прицел

През май 22 датски организации от енергийния сектор бяха компрометирани в резултат на атаки, частично свързани с руската APT Sandworm.

В нов доклад на датската организация с нестопанска цел за сигурност на критичната инфраструктура SektorCERT се описва как различни групи нападатели са използвали множество критични уязвимости в устройствата за защитна стена Zyxel, включително два „нулеви дни“, за да достигнат до промишлени машини, принуждавайки някои цели да се „изолират“, отделяйки ги от останалата част от националната мрежа.

Някои, но не всички пробиви са свързани с комуникации със сървъри, за които е известно, че се използват от Sandworm – група, която се страхува от многобройните си предишни атаки срещу мрежата.

Но не само APT на държавно ниво са насочени към енергийния сектор. В неотдавнашен доклад на компанията за киберсигурност Resecurity се описва голям ръст на атаките в енергийния сектор от страна на киберпрестъпни групи, които изглежда също са изиграли роля в атаките в Дания.

„Националните APT са най-големите заплахи, насочени към енергетиката, тъй като чуждестранните разузнавателни агенции ще я използват като инструмент за влияние върху икономиката и националната сигурност на страните“, обяснява Джийн Ю, главен изпълнителен директор на Resecurity. Той обаче добавя, че „киберпрестъпниците също играят важна роля в нея, тъй като обикновено те се сдобиват с ниско висящи плодове, като компрометират служители и оператори, включително инженери във веригата за доставки“.

Първата вълна

В края на април Zyxel, компания за комуникационно оборудване, разкри уязвимост за инжектиране на команди, засягаща фърмуера на нейната защитна стена и VPN устройства. На CVE-2023-28771, която позволяваше на всеки нападател да изготвя съобщения за изпълнение на отдалечени, неоторизирани команди на операционната система, беше присвоена оценка 9.8 „Критична“ по CVSS.

Много организации, участващи в експлоатацията на датската електропреносна мрежа, използваха защитни стени Zyxel като буфер между интернет и индустриалните системи за управление – системите, контролиращи надеждността – и критичното за безопасността оборудване. Както припомня SektorCERT, „това беше така нареченият най-лош сценарий“.

„Пилетата се прибраха у дома“ две седмици по-късно, на 11 май. „Нападателите знаеха предварително кого искат да ударят. Нито един изстрел не пропусна целта“, обясниха от SektorCERT. Около 11 енергийни компании бяха компрометирани незабавно, излагайки на риск критичната инфраструктура. В още пет организации нападателите не са успели да придобият контрол.

С помощта на правоприлагащите органи през нощта всички 11 компрометирани компании бяха защитени. Но след това привидно различни нападатели опитаха силите си само 11 дни по-късно.

По-нататъшни, по-сложни атаки

Този път, след като първоначалната уязвимост е била под контрол, нападателите са използвали две нулеви дати – CVE-2023-33009 и CVE-2023-33010, и двете „критични“ грешки при препълване на буфера от версия 9.8 – засягащи същите защитни стени.

От 22 до 25 май те извършиха атаки срещу различни компании от енергийния сектор, като разгърнаха множество различни полезни товари, включително инструмент за DDoS и варианта Moobot на Mirai. SektorCERT прецени, „че нападателите са изпробвали различни полезни товари, за да видят кое ще работи най-добре, поради което са били изтеглени няколко различни такива“.

През този период, по съвет на властите или просто от чувство за предпазливост, множество цели са работили като „остров“, откъснат от останалата част от националната мрежа.

И в някои от тези случаи един-единствен мрежов пакет е бил съобщаван от сървъри, за които е известно, че са свързани със Sandworm. По-специално, по същото време Русия е провеждала и други тайни операции в Дания. Все пак SektorCERT не предостави окончателна информация за причината.

Киберпрестъпниците се включват в акцията

Макар и безпрецедентни в Дания, в световен мащаб атаките на национални държави срещу критични енергийни компании не са нещо ново.

Ю припомня, че „сме наблюдавали множество целенасочени атаки, идващи от Северна Корея и Иран, насочени към сектора на ядрената енергетика, по-специално с цел придобиване на чувствителна интелектуална собственост и информация за персонала и неговия достъп, както и проникване във веригата за доставки“.

Но това не са само национални APT. Към 30 май, седмица след оповестяването на двата нулеви дни, SektorCERT отбеляза, че „опитите за атаки срещу датската критична инфраструктура са експлодирали – особено от IP адреси в Полша и Украйна. Там, където по-рано бяха атакувани отделни, подбрани компании, сега всички бяха обстрелвани с градушка от куршуми – включително защитни стени, които не бяха уязвими“.

„Те виждат високия риск и съответната висока награда“, обяснява Дрю Шмит, ръководител на практиката в GuidePoint Security, за киберпрестъпните формирования. „Тъй като все повече групи като Alphv, Lockbit и други продължават успешно да атакуват енергийния сектор, все повече групи за рансъмуер забелязват потенциалната печалба от насочването и въздействието върху този вид организации. Освен това жертвите в енергийния сектор придават много „уличен авторитет“ на групите, които успешно атакуват тези организации и се измъкват от отговорност.“

Както показа Дания, подобни атаки се спират само когато ефективното наблюдение и защита се съчетаят с партньорство между компаниите и правоприлагащите органи. „В края на краищата това е проблем, който трябва да се решава цялостно и да се координира между множество екипи и инструменти“, заключава Шмит.

 

 

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!