в соответствии синформационная безопасностьНовое исследование агентства Forescout предполагает, что кибератаки, произошедшие в датском энергетическом секторе в прошлом году, были связаны с ранее широко подозреваемым российским "песчаным червем".хакерПринадлежность к банде может отсутствовать.
Кибератака на Министерство энергетики Дании
В мае 2023 года около 22 датских энергетических организаций подверглись кибервторжению, разделенному на две волны. Первая волна использовалаБрандмауэр Zyxelуязвимость в системе безопасности (CVE-2023-28771), а также последующие действия, в ходе которых злоумышленник, используя пока неизвестный маршрут первоначального доступа, развернулБотнет MiraiВарианты.
Первая волна атак пришлась на 11 мая, а вторая продолжалась с 22 по 31 мая. В одной из атак, обнаруженной 24 мая, было установлено, что скомпрометированная система использовалась с IP-адресов (217.57.80 [...] 18 и 70.62.153 [...] 174), которые ранее использовались в качестве командно-контрольных (C2) серверов для распавшегося ботнета Cyclops Blink.
Анализ действий при нападении
Однако тщательный анализ кампании атак, проведенный компанией Forescout, показал, что две волны атак не только не связаны друг с другом, но и, скорее всего, не являются делом рук государственной хакерской организации, поскольку вторая волна атак является частью более широкой кампании массовой эксплуатации, нацеленной на непропатченный брандмауэр Zyxel. Конкретные лица, стоящие за этими двумя сериями атак, пока не известны.
В отчете под названием "Устранение тумана войны" компания заявила: "То, что было названо "второй волной" атак на Данию, на самом деле началось до [10-дневного срока] и продолжалось после, беспорядочно атакуя брандмауэры очень похожим образом, лишь периодически меняя транзитные серверы". серверов".
Устойчивость кибератак
Есть свидетельства того, что эти атаки могли начаться еще 16 февраля с использованием других известных уязвимостей в устройствах Zyxel (CVE-2020-9054 и CVE-2022-30525), а также CVE-2023-28771, и продолжались до октября 2023 года, причем активность была направлена на различные организации в Европе и США.
Forescout добавила: "Это еще раз подтверждает, что эксплуатация CVE-2023-27881 не ограничивается атаками на критически важную инфраструктуру Дании, а продолжается и нацелена на незащищенные устройства, некоторые из которых, как оказалось, являются брандмауэрами Zyxel, защищающими организации критической инфраструктуры".
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/cyberattacks-not-linked-to-sandworm-hacker-group.html.