StiftungNetzwerksicherheitNeue Untersuchungen der Agentur Forescout deuten darauf hin, dass die Cyberangriffe auf den dänischen Energiesektor im vergangenen Jahr mit dem zuvor weithin vermuteten russischen Sandworm in Verbindung standenHacker (Informatik) (Lehnwort)Eine Bandenzugehörigkeit darf nicht bestehen.
Cyberangriff auf das dänische Energieministerium
Im Mai 2023 wurden etwa 22 dänische Energieunternehmen Opfer eines Cyberangriffs, der in zwei Wellen erfolgte. Bei der ersten Welle wurdenZyxel-FirewallSicherheitslücke (CVE-2023-28771) und anschließende Aktivitäten, bei denen der Angreifer über einen noch unbekannten ersten Zugangsweg dieMirai-BotnetzDie Varianten.
Die erste Angriffswelle fand am 11. Mai statt, während die zweite Welle vom 22. bis 31. Mai andauerte. Bei einem der am 24. Mai entdeckten Angriffe wurde festgestellt, dass das kompromittierte System mit IP-Adressen (217.57.80 [...] 18 und 70.62.153 [...] 174) verwendet wurden, die zuvor als Command-and-Control (C2)-Server für das dekonstruierte Cyclops Blink-Botnet eingesetzt wurden.
Analyse der Angriffsaktivitäten
Die sorgfältige Analyse der Angriffskampagne durch Forescout hat jedoch ergeben, dass die beiden Angriffswellen nicht nur nichts miteinander zu tun haben, sondern höchstwahrscheinlich auch nicht das Werk einer staatlich geförderten Hackerorganisation sind, da die zweite Angriffswelle Teil einer umfassenderen Massenangriffskampagne auf die ungepatchte Zyxel-Firewall ist. Die konkreten Akteure, die hinter diesen beiden Angriffswellen stehen, sind noch nicht bekannt.
In einem Bericht mit dem Titel "Removing the Fog of War" (Den Nebel des Krieges beseitigen) erklärte das Unternehmen: "Was als 'zweite Welle' von Angriffen auf Dänemark beschrieben wurde, begann in Wirklichkeit vor [dem 10-Tage-Zeitraum] und setzte sich danach fort, wobei wahllos Firewalls in sehr ähnlicher Weise angegriffen wurden, mit nur periodischen Änderungen an Transit Servern."
Hartnäckigkeit von Cyberangriffen
Es gibt Hinweise darauf, dass diese Angriffe bereits am 16. Februar unter Ausnutzung anderer bekannter Schwachstellen in Zyxel-Geräten (CVE-2020-9054 und CVE-2022-30525) sowie CVE-2023-28771 begonnen haben könnten und bis Oktober 2023 andauerten, wobei verschiedene Einrichtungen in Europa und den Vereinigten Staaten betroffen waren.
Forescout fügte hinzu: "Dies bestätigt erneut, dass die Ausnutzung von CVE-2023-27881 nicht auf Angriffe auf kritische dänische Infrastrukturen beschränkt ist, sondern fortgesetzt wird und auf ungeschützte Geräte abzielt, von denen einige zufällig Zyxel-Firewalls zum Schutz kritischer Infrastrukturen sind."
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/cyberattacken-nicht-mit-sandworm-hackergruppe-verbunden-html