Russische dreigingsactoren zijn mogelijk in verband gebracht met wat wordt beschreven als de ‘grootste cyberaanval op de Deense kritieke infrastructuur’, waarbij in mei 2023 22 bedrijven die betrokken waren bij de werking van de energiesector van het land het doelwit waren.
“22 gelijktijdige, succesvolle cyberaanvallen tegen de Deense kritieke infrastructuur zijn niet alledaags”, aldus het Deense SektorCERT. [PDF]. “De aanvallers wisten van tevoren op wie ze zich gingen richten en hadden het elke keer goed. Geen enkele keer miste een schot het doel.”
De dienst zei dat het bewijs heeft gevonden dat een of meer aanvallen in verband brengt met de Russische militaire inlichtingendienst GRU, die ook wordt gevolgd onder de naam Sandworm en een staat van dienst heeft in het orkestreren van ontwrichtende cyberaanvallen op industriële controlesystemen. Deze beoordeling is gebaseerd op artefacten die communiceren met IP-adressen die zijn herleid tot de hackploeg.
De ongekende en gecoördineerde cyberaanvallen vonden plaats op 11 mei door gebruik te maken van CVE-2023-28771 (CVSS-score: 9,8), een kritieke fout in de commando-injectie die gevolgen had voor Zyxel-firewalls en die eind april 2023 werd onthuld.
Bij de elf bedrijven die met succes waren geïnfiltreerd, voerden de bedreigingsactoren kwaadaardige code uit om de firewallconfiguraties te verkennen en de volgende handelwijze te bepalen.
“Dit soort coördinatie vereist planning en middelen”, zei SektorCERT in een gedetailleerde tijdlijn van gebeurtenissen. “Het voordeel van gelijktijdig aanvallen is dat de informatie over de ene aanval zich niet naar de andere doelen kan verspreiden voordat het te laat is.”
“Hierdoor wordt de kracht van het delen van informatie buitenspel gezet, omdat niemand van tevoren kan worden gewaarschuwd voor de aanhoudende aanval, omdat iedereen tegelijkertijd wordt aangevallen. Het is ongebruikelijk – en uiterst effectief.”
Een tweede golf van aanvallen gericht op meer organisaties werd vervolgens van 22 tot 25 mei geregistreerd door een aanvalsgroep met voorheen onzichtbare cyberwapens, waardoor de mogelijkheid ontstond dat twee verschillende dreigingsactoren bij de campagne betrokken waren.
Dat gezegd hebbende, is het momenteel onduidelijk of de groepen met elkaar samenwerkten, voor dezelfde werkgever werkten of onafhankelijk opereerden.
Er wordt vermoed dat deze aanvallen nog twee kritieke bugs in Zyxel-apparatuur (CVE-2023-33009 en CVE-2023-33010, CVSS-scores: 9,8) hebben aangewend als zero-days om de firewalls in Mirai- en MooBot-botnets te coöpteren. patches voor hen zijn op 24 mei 2023 door het bedrijf uitgebracht.
De gecompromitteerde apparaten werden in sommige gevallen gebruikt om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren tegen niet bij naam genoemde bedrijven in de VS en Hong Kong.
“Nadat de exploitcode voor een aantal van de kwetsbaarheden rond 30/5 publiekelijk bekend werd, explodeerden de aanvalspogingen op de Deense kritieke infrastructuur – vooral vanaf IP-adressen in Polen en Oekraïne”, legt SektorCERT uit.
De aanval van aanvallen was voor de getroffen entiteiten aanleiding om de verbinding met het internet te verbreken en over te gaan op de eilandmodus, voegde het agentschap eraan toe.
Maar het zijn niet alleen natiestatelijke actoren. De energiesector wordt ook steeds meer een focus voor ransomwaregroepen, waarbij initial access brokers (IAB’s) actief ongeautoriseerde toegang tot kernenergiebedrijven bevorderen, volgens een rapport van Resecurity eerder deze week.
De ontwikkeling komt op het moment dat Censys zes hosts ontdekte van NTC Vulkan, een in Moskou gevestigde IT-contractant die naar verluidt offensieve cybertools heeft geleverd aan Russische inlichtingendiensten, waaronder Sandworm.
Bovendien bracht het onderzoek een verbinding aan het licht met een groep genaamd Raccoon Security via een NTC Vulkan-certificaat.
“Racoon Security is een merk van NTC Vulkan en het is mogelijk dat de activiteiten van Raccoon Security eerdere of huidige deelname omvatten aan de eerder genoemde gelekte initiatieven die zijn gecontracteerd door de GRU”, aldus Matt Lembright, directeur van Federal Applications bij Censys.
