22月には、ロシアのSandworm APTと部分的に関連した猛攻撃により、デンマークのエネルギー部門のXNUMX組織が侵害された。

新しいレポート デンマークの重要インフラ セキュリティ非営利団体 SektorCERT によると、さまざまな攻撃者グループが Zyxel ファイアウォール デバイスの複数の重大な脆弱性 (XNUMX つのゼロデイを含む) を利用して産業機械に侵入し、一部の標的を「孤立化」させ、残りの標的から隔離していると説明しています。ナショナルグリッド。

すべてではありませんが、一部の侵害には、Sandworm が使用していることが知られているサーバーとの通信が含まれていました。 過去の多くのグリッド攻撃.

しかし、エネルギー部門をターゲットにするのは州レベルのAPTだけではありません。 最近の報告 サイバーセキュリティ会社 Resecurity の記事では、サイバー犯罪グループによるエネルギー分野への攻撃が大幅に増加していることについて説明しており、これもデンマーク攻撃に関与しているようです。

「国民国家APTは、エネルギーを標的とする最大の脅威です。なぜなら、外国諜報機関が国家経済や国家安全保障に影響を与えるツールとしてAPTを利用するからです」と、Resecurity社CEOのジーン・ユー氏は説明する。 ただし、「サイバー犯罪者もその中で重要な役割を果たしています。通常、サイバー犯罪者は、サプライチェーン内のエンジニアを含む従業員やオペレーターを危険にさらすことで簡単に成果を上げます。」と彼は付け加えています。

最初の波

XNUMX月下旬、通信機器会社ザイクセルは、 コマンドインジェクションの脆弱性が明らかになった ファイアウォールと VPN デバイスのファームウェアに影響を与えます。 CVE-2023-28771は、攻撃者がリモートの未承認の OS コマンドを実行するためのメッセージを作成できるようにするもので、CVSS 評価は 9.8「緊急」に割り当てられました。

デンマークの電力網の運用に携わる多くの組織は、インターネットと産業用制御システム (信頼性を制御するシステム) および安全性が重要な機器の間のバッファとして Zyxel ファイアウォールを使用していました。 SektorCERT が回想したように、「これはいわゆる最悪のシナリオでした」。

ニワトリたちは11週間後の11月XNUMX日にねぐらに帰ってきた。 シュートが的を外したことは一度もなかった」とSektorCERTは説明した。 約 XNUMX 社のエネルギー会社が即座に侵害され、重要なインフラが攻撃者にさらされました。 さらに XNUMX つの組織では、攻撃者は制御を成功させることができませんでした。

法執行機関の夜間の協力により、侵害された 11 社すべてが確保されました。 しかし、わずか 11 日後には、一見別の攻撃者が手を試みました。

さらに高度な攻撃

今回、最初の脆弱性が制御されたため、攻撃者は XNUMX つのゼロデイ攻撃を武器化しました。 CVE-2023-33009 & CVE-2023-33010、どちらも 9.8 の「重大」なバッファ オーバーフロー バグで、まったく同じファイアウォールに影響します。

彼らは22月25日からXNUMX日にかけてさまざまなエネルギー分野の企業に対して攻撃を開始し、DDoSツールやMiraiの亜種Moobotなど複数の異なるペイロードを展開した。 SektorCERT は、「攻撃者がさまざまなペイロードを試して、何が最も効果的かを確認したため、複数の異なるペイロードがダウンロードされたのではないか」と評価しました。

この期間中、当局の助言により、あるいは単に警戒感から、複数の標的が国家網の残りの部分から切り離された「島」として活動した。

また、これらのケースの中には、Sandworm に関連していることが知られているサーバーから単一のネットワーク パケットが通信された場合もありました。 特にロシアは次のことを行っていた デンマークにおけるその他の秘密作戦 ほぼ同じ時期に。 それでも、SektorCERT は最終的な帰属を提供していません。

サイバー犯罪者が活動に参加

デンマークでは前例のないことですが、世界規模で見ると、重要なエネルギー企業に対する国家による攻撃は新しいものではありません。

ユ氏は、「核エネルギー部門を標的とした、北朝鮮とイランからの標的型攻撃が複数回発生しているのを目撃しており、特に機密知的財産、従業員情報とそのアクセスを取得し、サプライチェーンに侵入することを目的としている」と回想する。

しかし、それは国民国家の APT だけではありません。 30 つのゼロデイが公表されてから XNUMX 週間後の XNUMX 月 XNUMX 日までに、SektorCERT は「デンマークの重要インフラに対する攻撃の試みが、特にポーランドとウクライナの IP アドレスから爆発的に増加した」ことを観測しました。 以前は選ばれた個別の企業が標的にされていましたが、今では脆弱ではなかったファイアウォールも含め、全員が銃弾の雨で撃たれました。」

GuidePoint Security のプラクティスリードであるドリュー・シュミット氏は、サイバー犯罪組織について次のように説明します。 「より多くのグループが好むように、 Alphv、Lockbit、その他 エネルギー部門への攻撃が成功し続ける中、より多くのランサムウェア グループが、この種の組織をターゲットにして影響を与えることで得られる潜在的な利益に気づいています。 さらに、エネルギー部門の被害者は、これらの組織を攻撃して逃げ出すことに成功しているグループに多くの「世間の信用」を与えています。」

デンマークが実証したように、このような攻撃は、効果的な監視と防御が企業と法執行機関とのパートナーシップと組み合わされて初めて阻止されます。 「結局のところ、これは総合的に取り組み、複数のチームやツール間で調整する必要がある問題です」とシュミット氏は結論づけています。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/ics-ot/danish-energy-attacks-portend-targeting-more-critical-infrastructure