Новости Sandworm не виноваты: появились новые подробности атак на критическую инфраструктуру Дании

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Исследователи полагают, что ошиблись, изучая майские инциденты с брандмауэрами Zyxel.


ujqa8aekss8afmvr1ppuah4yvt8lcnc9.jpg


В мае 2023 года Дания Для просмотра ссылки Войди или Зарегистрируйся на свою критическую инфраструктуру. По информации некоммерческого кибербезопасного центра SektorCERT, в результате атак были скомпрометированы 22 организации энергетического сектора. Этот инцидент вызвал значительное беспокойство в обществе и государственных структурах.

Согласно отчету SektorCERT, атаки были организованы с использованием уязвимостей в брандмауэрах Zyxel , включая CVE-2023-28771, CVE-2023-33009 и CVE-2023-33010. Дефекты были обнародованы и устранены примерно в то же время.

В докладе упоминалась причастность группы Sandworm, хотя ранее подобные АРТ-группы не проявляли интереса к датской критической инфраструктуре и к Дании в целом.

Новый анализ, проведенный компанией Для просмотра ссылки Войди или Зарегистрируйся , рисует другую перспективу. Их исследование атак, происходивших в две волны с перерывом в несколько недель, показывает, что Sandworm, возможно, не участвовала в кампании.

Первая волна началась 11 мая 2023 года. Злоумышленники эксплуатировали уязвимость CVE-2023-28771, которая была раскрыта за 2 недели до происшествия и взломана за неделю до публикации готового эксплоита. Это указывает на возможную целевую атаку, хотя в Дании насчитывается около 700 уязвимых брандмауэров Zyxel.

Вторая волна атак началась 22 мая, через несколько недель после первой. В ней, по оценке Forescout , участвовали уже другие злоумышленники. Эти инциденты могли быть частью массовой операции по заражению устройств Zyxel с помощью ботнета Mirai .

По сути, вся зафиксированная Forescout активность против Zyxel в указанный период включала эксплуатацию CVE-2023-28771. Нападения на датские организации не были исключением.

По мнению исследователей, первая и вторая волны атак не связаны между собой. Хотя датский энергетический сектор и пострадал, это, скорее всего, произошло случайно.

Что касается первой волны, она выглядит более изощренной и целенаправленной. Однако Forescout не нашла прямых указаний на участие группы Sandworm.

Компания отмечает, что в глобальном масштабе насчитывается более 40 000 брандмауэров Zyxel, доступных из интернета. Многие из них защищают объекты критической инфраструктуры разных стран.
 
Источник новости
www.securitylab.ru

Похожие темы