Крупнейшая атака на брандмауэры Zyxel в Дании отключила энергетические компании от сети

В мае 2023 года Дания пережила серию хакерских атак, которую специалисты окрестили самым серьезным киберинцидентом за всю историю страны. Преступники нацелились на критическую инфраструктуру. Отчёт SektorCERT , датского кибербезопасного агентства, раскрывает, что за короткий промежуток времени нападению подверглись 22 компании. Некоторым пришлось полностью изолировать свои системы, на время отключив их от интернета.

Корень проблемы крылся в уязвимостях брандмауэров Zyxel, которые широко используются организациями, подпадающими под защиту SektorCERT. Дефекты, обнародованные специалистами еще в апреле, позволили злоумышленникам удаленно получить полный контроль над устройствами без аутентификации. В некоторых случаях использовались 0-day уязвимости, неизвестные ранее. Установить виновников до сих пор не удалось.

«Для многих наших членов это стало неожиданностью», — говорится в документе. «Они были убеждены, что поскольку брандмауэр относительно новый, он, вероятно, оснащён последней версией программного обеспечения, а другие ошибочно предполагали, что за обновления отвечает поставщик».

«Некоторые намеренно отказались от обновлений, поскольку их установка стоила денег, хотя само ПО было бесплатным».

«Эти обстоятельства сыграли на руку злоумышленникам и предоставили им несколько недель на проведение атак, даже после того, как SektorCERT через SektorForum предупредила всех членов об угрозе и призвала их обновить системы».

Первая волна нападений началась 11 мая. Пострадали 16 энергетических компаний – для проникновения в их системы хакеры пытались эксплуатировать уязвимость CVE-2023-28771. С 11 организациями этот метод сработал моментально, остальным взлома удалось избежать – возможно, из-за технического сбоя.

Спустя десять дней началась вторая волна. Брандмауэр одной из компаний хакеры попытались подключить к ботнету Mirai, который применяется в DDoS-атаках на США и Гонконг. Угрозу обнаружили, только когда устройство попытались обновить через незащищенное соединение. Есть предположения, что к этому случаю причастна отдельная группа.

Затем были зафиксированы нападения ещё на шесть организаций, также через брандмауэры Zyxel. Некоторые даже не знали, что у них есть такие устройства.

Завершающая серия атак произошла 24 мая. После нее в нескольких машинах были обнаружены признаки продвинутых постоянных угроз (APT). Сетевой трафик был связан с IP-адресом, который ранее использовала известная хакерская группировка. Тем не менее, недостаток прямых доказательств не позволяет однозначно утверждать, что к делу причастна именно она.

Несмотря на масштабность и сложность атак, критическая инфраструктура страны пострадала несущественно. Быстрая реакция экспертов SektorCERT и штатных IT-специалистов помогла минимизировать ущерб.

«Критическая инфраструктура Дании непрерывно сталкивается с кибератаками со стороны иностранных агентов. Поэтому каждому, кто отвечает за функционирование таких учреждений, необходимо уделять особое внимание киберзащите и принимать адекватные меры для предупреждения и устранения угроз», — подчеркивается в отчёте.