Sandworm не виноваты: появились новые подробности атак на критическую инфраструктуру Дании

В мае 2023 года Дания столкнулась с кибератакой на свою критическую инфраструктуру. По информации некоммерческого кибербезопасного центра SektorCERT, в результате атак были скомпрометированы 22 организации энергетического сектора. Этот инцидент вызвал значительное беспокойство в обществе и государственных структурах.

Согласно отчету SektorCERT, атаки были организованы с использованием уязвимостей в брандмауэрах Zyxel, включая CVE-2023-28771, CVE-2023-33009 и CVE-2023-33010. Дефекты были обнародованы и устранены примерно в то же время.

В докладе упоминалась причастность группы Sandworm, хотя ранее подобные АРТ-группы не проявляли интереса к датской критической инфраструктуре и к Дании в целом.

Новый анализ, проведенный компанией Forescout , рисует другую перспективу. Их исследование атак, происходивших в две волны с перерывом в несколько недель, показывает, что Sandworm, возможно, не участвовала в кампании.

Первая волна началась 11 мая 2023 года. Злоумышленники эксплуатировали уязвимость CVE-2023-28771, которая была раскрыта за 2 недели до происшествия и взломана за неделю до публикации готового эксплоита. Это указывает на возможную целевую атаку, хотя в Дании насчитывается около 700 уязвимых брандмауэров Zyxel.

Вторая волна атак началась 22 мая, через несколько недель после первой. В ней, по оценке Forescout, участвовали уже другие злоумышленники. Эти инциденты могли быть частью массовой операции по заражению устройств Zyxel с помощью ботнета Mirai.

По сути, вся зафиксированная Forescout активность против Zyxel в указанный период включала эксплуатацию CVE-2023-28771. Нападения на датские организации не были исключением.

По мнению исследователей, первая и вторая волны атак не связаны между собой. Хотя датский энергетический сектор и пострадал, это, скорее всего, произошло случайно.

Что касается первой волны, она выглядит более изощренной и целенаправленной. Однако Forescout не нашла прямых указаний на участие группы Sandworm.

Компания отмечает, что в глобальном масштабе насчитывается более 40 000 брандмауэров Zyxel, доступных из интернета. Многие из них защищают объекты критической инфраструктуры разных стран.