في شهر مايو، تعرضت 22 مؤسسة دنماركية في قطاع الطاقة للخطر في هجمة من الهجمات المرتبطة جزئيًا بـ Sandworm APT الروسية.
تقرير جديد تصف منظمة SektorCERT الدنماركية غير الربحية لأمن البنية التحتية الحيوية مجموعات مختلفة من المهاجمين الذين يستفيدون من نقاط الضعف الحرجة المتعددة في أجهزة جدار الحماية Zyxel، بما في ذلك اثنتين من أيام الصفر، للوصول إلى الآلات الصناعية، مما يجبر بعض الأهداف على "الجزيرة"، وعزلها عن بقية الأجهزة. الشبكة الوطنية.
تضمنت بعض الانتهاكات، وليس كلها، اتصالات مع خوادم معروفة بأن Sandworm تستخدمها، وهي مجموعة تخشى بسببها العديد من هجمات الشبكة السابقة.
لكن الأمر لا يقتصر على التهديدات المستمرة المتقدمة على مستوى الدولة التي تستهدف قطاع الطاقة فقط. تقرير حديث من شركة الأمن السيبراني Resecurity يصف الارتفاع الكبير في هجمات قطاع الطاقة من قبل مجموعات الجريمة السيبرانية، والتي يبدو أنها لعبت أيضًا دورًا في هجمات الدنمارك.
يوضح جين يو، الرئيس التنفيذي لشركة Resecurity، أن "التهديدات المستمرة المستمرة للدولة القومية هي أكبر التهديدات التي تستهدف الطاقة، لأن وكالات الاستخبارات الأجنبية ستستخدمها كأداة للتأثير على اقتصاد البلدان وأمنها القومي". ويضيف، مع ذلك، "يلعب مجرمو الإنترنت أيضًا دورًا مهمًا في ذلك، حيث يحصلون عادةً على ثمار قريبة من خلال تعريض الموظفين والمشغلين للخطر، بما في ذلك المهندسين في سلسلة التوريد".
الموجة الأولى
في أواخر أبريل/نيسان، قامت شركة Zyxel، وهي شركة لمعدات الاتصالات، كشف ثغرة أمنية في حقن الأوامر مما يؤثر على جدار الحماية والبرامج الثابتة لجهاز VPN. CVE-2023-28771، والذي سمح لأي مهاجم بصياغة رسائل لتنفيذ أوامر نظام التشغيل عن بعد وغير المصرح بها، حصل على تصنيف 9.8 "حرج" من نظام CVSS.
استخدمت العديد من المنظمات المشاركة في تشغيل الشبكة الدنماركية جدران الحماية Zyxel كمنطقة عازلة بين الإنترنت وأنظمة التحكم الصناعية - الأنظمة التي تتحكم في الموثوقية - والمعدات الحيوية للسلامة. وكما ذكر SektorCERT، "كان هذا ما يسمى بالسيناريو الأسوأ".
عادت الدجاجات إلى المنزل لتجثم بعد أسبوعين، في 11 مايو/أيار. وأوضح SektorCERT أنه لم تخطئ أي طلقة الهدف. وتعرضت حوالي 11 شركة للطاقة للاختراق على الفور، مما كشف البنية التحتية الحيوية للمهاجمين. وفي خمس منظمات أخرى، لم يتمكن المهاجمون من السيطرة بنجاح.
وبمساعدة سلطات إنفاذ القانون حتى الليل، تم تأمين جميع الشركات الـ 11 المخترقة. ولكن يبدو أن مهاجمين مختلفين حاولوا تنفيذ الأمر بعد 11 يومًا فقط.
علاوة على ذلك، المزيد من الهجمات المعقدة
هذه المرة، بعد السيطرة على الثغرة الأمنية الأولية، قام المهاجمون باستخدام ثغرة يوم صفر كسلاح - CVE-2023-33009 و CVE-2023-33010، كلاهما 9.8 خطأ تجاوز سعة المخزن المؤقت "الحرج" - يؤثران على نفس جدران الحماية.
وشنوا هجمات ضد شركات مختلفة في قطاع الطاقة في الفترة من 22 إلى 25 مايو، ونشروا حمولات متعددة مختلفة، بما في ذلك أداة DDoS ومتغير Mirai Moobot. وقدر SektorCERT أن "المهاجمين جربوا حمولات مختلفة لمعرفة ما يمكن أن يعمل بشكل أفضل، ولهذا السبب تم تنزيل عدة حمولات مختلفة".
خلال هذه الفترة، بناءً على نصيحة السلطات أو ببساطة من باب الحذر، عملت أهداف متعددة بمثابة "جزيرة"، معزولة عن بقية الشبكة الوطنية.
وفي بعض هذه الحالات، تم إرسال حزمة شبكة واحدة من خوادم معروفة بأنها مرتبطة بـ Sandworm. وكانت روسيا، على وجه الخصوص، تنفذ ذلك عمليات سرية أخرى في الدنمارك في نفس الوقت تقريبا. ومع ذلك، لم يقدم SektorCERT إسنادًا نهائيًا.
مجرمو الإنترنت يتدخلون في العمل
على الرغم من أن الهجمات التي تشنها الدول القومية ضد شركات الطاقة الحيوية ليست جديدة، على الرغم من أنها غير مسبوقة في الدنمرك، على نطاق عالمي.
يتذكر "يو" أننا "شهدنا العديد من الهجمات المستهدفة القادمة من كوريا الشمالية وإيران والتي تستهدف قطاع الطاقة النووية، وتحديدًا بهدف الحصول على حقوق الملكية الفكرية الحساسة، ومعلومات الموظفين والوصول إليهم، فضلاً عن التسلل إلى سلسلة التوريد".
لكن الأمر لا يقتصر على التهديدات المستمرة المستمرة للدولة القومية فقط. بحلول 30 مايو، بعد أسبوع من الإعلان عن يومين الصفر، لاحظ SektorCERT أن "محاولات الهجوم على البنية التحتية الحيوية الدنماركية انفجرت - خاصة من عناوين IP في بولندا وأوكرانيا. وبينما كانت الشركات الفردية والمختارة تُستهدف في السابق، أصبح الجميع الآن يُطلق عليهم وابل من الرصاص - بما في ذلك جدران الحماية التي لم تكن عرضة للخطر.
"إنهم يرون المخاطر العالية والمكافأة الكبيرة المقابلة لها"، يشرح درو شميت، قائد الممارسة في GuidePoint Security، عن مجموعات مجرمي الإنترنت. "كما تحب المزيد من المجموعات ألفف، لوكبيت، وغيرها ومع مواصلة مهاجمة قطاع الطاقة بنجاح، تلاحظ المزيد من مجموعات برامج الفدية المكاسب المحتملة من استهداف هذه الأنواع من المؤسسات والتأثير عليها. بالإضافة إلى ذلك، يضيف الضحايا في قطاع الطاقة الكثير من "مصداقية الشارع" إلى المجموعات التي تهاجم هذه المنظمات بنجاح وتفلت من العقاب".
وكما أظهرت الدنمارك، فإن مثل هذه الهجمات لا يمكن إيقافها إلا عندما تقترن المراقبة والدفاع الفعالان بالشراكة بين الشركات وجهات إنفاذ القانون. ويخلص شميت إلى أنه "في نهاية المطاف، هذه مشكلة تحتاج إلى معالجة شاملة وبالتنسيق بين فرق وأدوات متعددة".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/ics-ot/danish-energy-attacks-portend-targeting-more-critical-infrastructure
