В Дании произошла крупнейшая за всю историю кибератака

Смотрите также: Живой вебинар | Генеративный ИИ: мифы, реальность и практические примеры использования

SektorCERT, некоммерческий центр кибербезопасности для критически важных секторов Дании, сообщил, что в мае злоумышленники получили доступ к системам 22 компаний, контролирующих различные компоненты датской энергетической инфраструктуры. Отчет опубликован в воскресенье говорит Хакеры воспользовались уязвимостями нулевого дня в межсетевых экранах Zyxel, которые многие датские операторы критической инфраструктуры используют для защиты своих сетей.

По данным SektorCERT, большинство атак стало возможным потому, что компании не обновили свои межсетевые экраны. В нем говорится, что несколько компаний отказались от обновления программного обеспечения, поскольку за установку взималась плата. Некоторые компании ошибочно полагали, что в относительно новых брандмауэрах Zyxel уже установлены последние обновления, а другие ошибочно полагали, что ответственность за внедрение обновлений несет поставщик.

Уязвимости брандмауэра, о которых первоначально сообщалось в апреле и которые отслеживались как CVE-2023-28771позволяют злоумышленникам получить удаленный доступ к системам промышленного управления без аутентификации. SektorCERT охарактеризовал кибератаку как «замечательную» благодаря тщательному планированию и координации, заявив, что злоумышленники продемонстрировали способность идентифицировать компании с уязвимыми устройствами и организовать одновременную кампанию против целевых фирм.

“По сей день нет четкого объяснения того, откуда нападавшие получили необходимую информацию, но мы можем констатировать, что среди 300 участников они не пропустили ни одного выстрела”, – говорится в сообщении.

Согласно отчету, одиннадцать компаний были «сразу» скомпрометированы, что позволило злоумышленникам получить контроль над межсетевым экраном и получить доступ к критической инфраструктуре, стоящей за ним. В SektorCERT заявили, что одновременная атака помешала энергетическим компаниям заранее предупредить других, «поскольку все подвергаются нападению одновременно».

В отчете описывается цель кибератаки как сбор разведывательной информации и говорится, что злоумышленники выполнили код на брандмауэре, который заставил его отправить обратно имена пользователей и данные конфигурации. В SektorCERT заявили, что «по оценкам, злоумышленники использовали эту команду в качестве разведки, чтобы увидеть, как настроены соответствующие межсетевые экраны, а затем выбрать, как следует продолжить дальнейшую атаку».

Атаки начались 11 мая, после чего последовали 10 дней бездействия. Вторая волна атак началась 22 мая, когда SektorCERT получил предупреждение о том, что один из ее членов загрузил новое программное обеспечение брандмауэра через небезопасное соединение. Остается неясным, какие государственные субъекты или конкретные киберпреступные организации стоят за атаками, а также были ли задействованы несколько групп в серии киберинцидентов, нацеленных на критически важную инфраструктуру Дании.

Анализ SektorCERT показал, что трафик в взломанных сетях исходил с серверов, связанных с подразделением российских военных хакеров, широко известным как Sandworm. Песчаный червь, также известный как Seashell Blizzard и Voodoo Bear, печально известен атаками на критически важные инфраструктурные объекты на Украине, пока Россия ведет завоевательную войну. В отчете, опубликованном ранее в этом месяце, говорится, что хакерская группа использовала новые методы для проведения целенаправленной атаки на украинскую электроподстанцию ​​(см.: Российские военные хакеры вызвали отключение электроэнергии в октябре 2022 года.)

Несколько взломанных компаний избежали какого-либо существенного воздействия на энергетическую систему Дании, отключившись от местных или национальных энергосетей и перейдя в изолированный режим, что изолировало их системы и предотвратило потенциальное распространение атаки на более широкую энергетическую систему Дании.

SektorCERT призвал компании создавать сегментированные сети, чтобы избежать нарушений в масштабах всего предприятия и обеспечить отображение всех сетевых входов в операционные технологические системы.