In mei kwamen 22 Deense organisaties uit de energiesector in gevaar tijdens een aanval van aanvallen die deels verband hielden met de Russische Sandworm APT.
Een nieuw rapport van de Deense non-profitorganisatie voor beveiliging van kritieke infrastructuur SektorCERT beschrijft verschillende groepen aanvallers die gebruik maken van meerdere, kritieke kwetsbaarheden in Zyxel-firewallapparaten, waaronder twee zero-days, om industriële machines te bereiken, waardoor sommige doelen worden gedwongen te ‘eilanden’, waardoor ze worden geïsoleerd van de rest van de omgeving. nationaal net.
Bij sommige, maar niet bij alle, inbreuken ging het om communicatie met servers waarvan bekend was dat ze door Sandworm werden gebruikt, een groep die erom vreesde veel eerdere gridaanvallen.
Maar het zijn niet alleen APT's op staatsniveau die zich richten op de energiesector. Een recent rapport van cyberbeveiligingsbedrijf Resecurity beschrijft een grote toename in aanvallen in de energiesector door cybercriminele groepen, die ook een rol leken te spelen bij de aanvallen in Denemarken.
“Natiestaat-APT’s vormen de grootste bedreiging voor de energiesector, omdat buitenlandse inlichtingendiensten dit zullen gebruiken als een instrument om de economie en de nationale veiligheid van landen te beïnvloeden”, legt Gene Yoo, CEO van Resecurity, uit. Hij voegt er echter aan toe dat “cybercriminelen hierin ook een belangrijke rol spelen, omdat ze doorgaans laaghangend fruit verwerven door werknemers en operators, inclusief ingenieurs in de toeleveringsketen, in gevaar te brengen.”
De eerste golf
Eind april heeft Zyxel, een bedrijf voor communicatieapparatuur, onthulde een kwetsbaarheid voor commando-injectie waardoor de firewall en VPN-apparaatfirmware worden beïnvloed. CVE-2023-28771, waarmee elke aanvaller berichten kon maken voor het uitvoeren van externe, ongeautoriseerde OS-opdrachten, kreeg een 9.8 “Critical” CVSS-beoordeling.
Veel organisaties die betrokken zijn bij het beheer van het Deense elektriciteitsnet gebruikten Zyxel-firewalls als buffer tussen het internet en industriële controlesystemen – de systemen die de betrouwbaarheid controleren – en veiligheidskritische apparatuur. Zoals SektorCERT zich herinnerde, “was het een zogenaamd worst case scenario.”
Twee weken later, op 11 mei, kwamen de kippen op stok. “De aanvallers wisten van tevoren wie ze wilden raken. Geen enkele keer miste een schot het doel”, legt SektorCERT uit. Ongeveer elf energiebedrijven werden onmiddellijk gecompromitteerd, waardoor kritieke infrastructuur werd blootgesteld aan de aanvallers. Bij nog eens vijf organisaties slaagden de aanvallers er niet in de controle over te nemen.
Met hulp van wetshandhavers werden tot diep in de nacht alle elf gecompromitteerde bedrijven veiliggesteld. Maar toen probeerden schijnbaar verschillende aanvallers slechts elf dagen later hun hand.
Verder meer geavanceerde aanvallen
Deze keer, toen de aanvankelijke kwetsbaarheid onder controle was, gebruikten de aanvallers twee zero-days – CVE-2023-33009 en CVE-2023-33010, beide 9.8 “Critical” buffer overflow bugs – die dezelfde firewalls aantasten.
Ze lanceerden van 22 tot 25 mei aanvallen op verschillende bedrijven uit de energiesector, waarbij ze meerdere verschillende ladingen inzetten, waaronder een DDoS-tool en de Mirai-variant Moobot. SektorCERT oordeelde “dat de aanvallers verschillende payloads probeerden om te zien wat het beste zou werken, en daarom werden er verschillende gedownload.”
Gedurende deze periode functioneerden meerdere doelen, op advies van de autoriteiten of gewoon uit voorzichtigheid, als een ‘eiland’, afgesloten van de rest van het nationale netwerk.
En in sommige van deze gevallen werd een enkel netwerkpakket gecommuniceerd vanaf servers waarvan bekend was dat ze verband hielden met Sandworm. Met name Rusland had dit uitgevoerd andere geheime operaties in Denemarken rond dezelfde tijd. Toch heeft SektorCERT geen definitieve toeschrijving verstrekt.
Cybercriminelen komen in actie
Hoewel ongekend in Denemarken, zijn nationale aanvallen op cruciale energiebedrijven op wereldschaal niet nieuw.
Yoo herinnert zich dat “we meerdere gerichte aanvallen hebben gezien vanuit Noord-Korea en Iran gericht op de kernenergiesector, met name met als doel gevoelige intellectuele eigendommen en personeelsinformatie en de toegang daartoe te verwerven, en ook te infiltreren in de toeleveringsketen.”
Maar het zijn niet alleen nationale APT's. Op 30 mei, een week nadat de twee zero-days waren gepubliceerd, merkte SektorCERT op dat “aanvalspogingen op de Deense kritieke infrastructuur explodeerden – vooral vanaf IP-adressen in Polen en Oekraïne. Waar voorheen individuele, geselecteerde bedrijven het doelwit waren, werd nu iedereen beschoten met een kogelregen – inclusief firewalls die niet kwetsbaar waren.”
“Ze zien het hoge risico en de bijbehorende hoge beloning”, legt Drew Schmitt, praktijkleider bij GuidePoint Security, uit over cybercriminele outfits. “Zoals meer groepen het leuk vinden Alphv, Lockbit en anderen Hoewel ze de energiesector met succes blijven aanvallen, merken steeds meer ransomwaregroepen de potentiële winst op als ze dit soort organisaties targeten en beïnvloeden. Bovendien voegen slachtoffers in de energiesector veel ‘street cred’ toe aan de groepen die deze organisaties met succes aanvallen en ermee wegkomen.”
Zoals Denemarken heeft aangetoond, kunnen dergelijke aanvallen alleen worden gestopt als effectieve monitoring en verdediging gepaard gaan met partnerschap tussen bedrijven en wetshandhavingsinstanties. “Uiteindelijk is dit een probleem dat holistisch moet worden aangepakt en gecoördineerd tussen meerdere teams en tools”, besluit Schmitt.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/ics-ot/danish-energy-attacks-portend-targeting-more-critical-infrastructure
