Как Дания свела к нулю рекордные атаки на критическую инфраструктуру • –

По данным SektorCERT, датской специализированной организации по кибербезопасности критического оборудования, в мае датская критическая инфраструктура подверглась крупнейшей онлайн-атаке в истории страны.

Подробное описание волн атак в отчете показало, что всего за несколько дней были взломаны 22 компании. Некоторым пришлось перейти в островной режим, в котором им пришлось отключиться от Интернета и отключить все другие несущественные сетевые соединения. [ref PDF].

Почти во всех случаях неисправленные уязвимости в межсетевых экранах Zyxel означали, что компрометация была возможна, а в некоторых случаях злоумышленники оказались хорошо обеспеченными ресурсами и использовали уязвимости, о которых не было объявлено публично (нулевые дни).

Предполагается, что атаки были осуществлены несколькими группировками, и по крайней мере одна из них потенциально представляла собой печально известную операцию «Песчаный червь», организованную Главным разведывательным управлением России (ГРУ), говорят исследователи.

Поскольку устройства Zyxel не были видны общедоступным службам сканирования, таким как Shodan, SektorCERT полагает, что критически важная инфраструктура Дании была атакована конкретно.

Межсетевые экраны Zyxel широко используются организациями, защищенными SektorCERT, и уязвимости в них, объявлено в апреле, которые позволяют удаленным злоумышленникам получить полный контроль над брандмауэром без аутентификации, были обвинены в большинстве атак.

«Для многих наших членов это стало неожиданностью», — говорится в сообщении SektorCERT. отчет [PDF]. «Многие считали, что, поскольку брандмауэр был относительно новым, на нем должно быть установлено новейшее программное обеспечение, в то время как другие ошибочно полагали, что ответственность за обновления несет их поставщик.

«Другие участники намеренно отказались от обновлений, поскольку поставщик взимал плату за их установку (само программное обеспечение бесплатное). Третьи просто не знали, что в их сети есть соответствующие устройства. Либо потому, что поставщик имел установили их, не сказав им об этом или потому, что у них не было обзора устройств, подключенных к их сети.

«Это принесло пользу злоумышленникам и дало им недели на проведение атак – даже после того, как SektorCERT через SektorForum предупредил всех участников и призвал их установить обновления».

Первая волна атак началась 11 мая и была нацелена на 16 энергетических организаций, пытавшихся использовать CVE-2023-28771.

Одиннадцать из 16 организаций были скомпрометированы «сразу» — остальные пять, как полагают, скрылись, возможно, из-за плохо отформатированных пакетов данных, отправленных на межсетевые экраны, а это означает, что уязвимость не была использована.

Что касается 11 взломанных устройств, SektorCERT полагает, что это был первоначальный этап разведки атаки, и, скорее всего, злоумышленникам были отправлены только конфигурации брандмауэра и учетные данные.

Поскольку устройства не были доступны для сканирования такими сервисами, как Shodan, в SektorCERT заявили, что неясно, как злоумышленникам удалось идентифицировать уязвимые межсетевые экраны.

В нем также говорится, что координация в первой волне была «замечательной» — атака, потребовавшая планирования и большого количества ресурсов.

После 10 дней молчания началась вторая волна атак – на этот раз одна организация уже была скомпрометирована, но SektorCERT получил предупреждение только после того, как начал загружать обновления брандмауэра по незащищенному соединению (операция злоумышленника), а не в момент первоначальной компрометации. .

Оказалось, что это была атака, предположительно осуществленная другим злоумышленником, с целью использования инфраструктуры организации в качестве части Ботнет Мирай. Компромисс был использован для осуществления DDoS-атаки против двух целей в США и Гонконге, прежде чем организация перешла в островной режим, чтобы исправить компромисс.

Было установлено, что злоумышленники «вероятно» использовали два брандмауэра Zyxel нулевого дня, чтобы взломать эту организацию. В то время SektorCERT не знал, как изначально была достигнута компрометация. Два дня спустя Zyxel опубликовала информацию о двух CVE, связанных с брандмауэром, и SektorCERT заявил, что, возможно, они были известны злоумышленникам заранее.

Всего через несколько часов после первой атаки на Мирай произошла еще одна, снова переведя организацию в изолированный режим работы. В этом случае брандмауэр в конечном итоге пришлось полностью заменить, чтобы полностью устранить угрозу.

В течение следующих нескольких дней, поскольку в некоторых случаях SektorCERT был вынужден работать круглосуточно, шесть других организаций снова были скомпрометированы через межсетевые экраны Zyxel. В одном случае организация даже не знала, что у них есть брандмауэр Zyxel, пока тщательное расследование не выявило, что сторонний поставщик установил его при настройке системы камер.

Последняя волна атак началась 24 мая, когда SektorCERT получил предупреждение, указывающее на трафик повышенной постоянной угрозы (APT) в одной организации – первый подобный случай за три года работы.

Трафик был связан с IP-адресом, который ранее использовался Песчаный червьроссийское киберподразделение ГРУ участвовало в ряде атак, но, пожалуй, самой печально известной из всех была НеПетя. Однако в SektorCERT настаивают на том, что установление авторства невозможно с уверенностью из-за общего отсутствия доказательств.

Из атак, связанных с Sandworm, почти ничего не вышло, за исключением того, что одна организация потеряла видимость трех своих удаленных офисов, и их пришлось устранять вручную.

“[The organization’s workers] начал вручную выезжать во все отдаленные места, чтобы справиться с ручным управлением», – сказал SektorCERT. «Ситуация была решена как профессионально, так и с долей хорошего датского юмора: «Для въезда хорошая погода», как заявил операционный менеджер. .”

Тем не менее, существенного существенного влияния на работу страны не было. критическая инфраструктура. SektorCERT высоко оценил быструю реакцию своих экспертов и пострадавших организаций.

В дальнейшем в нем заявили, что больше внимания следует уделять так называемым системным уязвимостям – тем, которые существуют во многих организациях и если их эксплуатация может привести к серьезным последствиям для страны.

«Датская критическая инфраструктура находится под постоянными кибератаками со стороны иностранных субъектов. Поэтому каждый, кто управляет критической инфраструктурой, должен уделять особое внимание и обеспечивать принятие правильных мер для предотвращения, обнаружения и борьбы с этими атаками». ®