Möglicherweise sind russische Bedrohungsakteure mit dem „größten Cyberangriff gegen die dänische kritische Infrastruktur“ verknüpft, bei dem im Mai 2023 22 Unternehmen, die für den Betrieb des Energiesektors des Landes zuständig sind, ins Visier genommen wurden.
„SektorCERT aus Dänemark erklärte, dass 22 gleichzeitige, erfolgreiche Cyberangriffe gegen die dänische kritische Infrastruktur alles andere als alltäglich seien. Die Angreifer wussten im Voraus, wen sie ins Visier nehmen wollten, und trafen jedes Mal ins Schwarze. Kein einziger Schuss verfehlte das Ziel.“
Die Agentur fand Beweise, die einen oder mehrere Angriffe mit der GRU, der russischen Militärnachrichtendienstagentur, in Verbindung bringen. Diese ist auch unter dem Namen Sandworm bekannt und hat eine Vorgeschichte disruptiver Cyberangriffe auf industrielle Kontrollsysteme. Diese Einschätzung basiert auf Artefakten, die mit IP-Adressen kommunizieren, die der Hackergruppe zugeordnet wurden.
Die beispiellosen und koordinierten Cyberangriffe fanden am 11. Mai statt und nutzten CVE-2023-28771 aus, eine kritische Befehlsinjektionsschwachstelle in Zyxel-Firewalls, die Ende April 2023 öffentlich gemacht wurde.
Bei den 11 erfolgreich infiltrierten Unternehmen führten die Bedrohungsakteure bösartigen Code aus, um die Firewall-Konfigurationen auszukundschaften und den weiteren Verlauf der Aktion zu bestimmen.
„Eine solche Koordination erfordert Planung und Ressourcen“, sagte SektorCERT. „Der Vorteil eines gleichzeitigen Angriffs liegt darin, dass Informationen über einen Angriff sich nicht zu den anderen Zielen verbreiten können, bevor es zu spät ist.“
Eine zweite Angriffswelle, die weitere Organisationen ins Visier nahm, wurde vom 22. bis 25. Mai von einer Angriffsgruppe mit bisher unbekannten Cyberwaffen aufgezeichnet, was darauf hindeutet, dass zwei verschiedene Bedrohungsakteure an der Kampagne beteiligt waren.
Es ist derzeit unklar, ob die Gruppen zusammenarbeiteten, denselben Arbeitgeber hatten oder unabhängig voneinander handelten.
Diese Angriffe sollen zwei weitere kritische Schwachstellen in Zyxel-Geräten (CVE-2023-33009 und CVE-2023-33010, CVSS-Scores: 9.8) als Zero-Days ausgenutzt haben, um die Firewalls in Mirai- und MooBot-Botnets einzubinden, da Patches für diese Schwachstellen am 24. Mai 2023 von der Firma veröffentlicht wurden.
Die kompromittierten Geräte wurden in einigen Fällen dazu verwendet, Distributed-Denial-of-Service-Angriffe (DDoS) gegen nicht näher benannte Unternehmen in den USA und Hongkong durchzuführen.
„Nachdem der Exploit-Code für einige der Schwachstellen um den 30. Mai herum öffentlich bekannt wurde, explodierten die Angriffsversuche gegen die dänische kritische Infrastruktur – insbesondere von IP-Adressen in Polen und der Ukraine“, erklärte SektorCERT.
Die Flut von Angriffen veranlasste die betroffenen Einheiten, sich vom Internet zu trennen und in den Inselmodus zu gehen, fügte die Agentur weiter hinzu.
Aber nicht nur staatliche Akteure sind beteiligt. Der Energiesektor wird auch zunehmend zum Fokus von Ransomware-Gruppen, wobei Initial Access Broker (IABs) aktiv unbefugten Zugang zu Kernenergieunternehmen bewerben, so ein Bericht von Resecurity Anfang dieser Woche.
Die Entwicklung erfolgt, während Censys sechs Hosts von NTC Vulkan, einem in Moskau ansässigen IT-Dienstleister, der angeblich offensive Cyberwerkzeuge für russische Geheimdienste, einschließlich Sandworm, geliefert hat, entdeckt hat.
Darüber hinaus wurde eine Verbindung zu einer Gruppe namens Raccoon Security über ein Zertifikat von NTC Vulkan aufgedeckt.
„Racoon Security ist eine Marke von NTC Vulkan, und es ist möglich, dass die Aktivitäten von Raccoon Security entweder eine frühere oder aktuelle Beteiligung an den zuvor erwähnten, von der GRU in Auftrag gegebenen Initiativen umfassen“, sagte Matt Lembright, Director of Federal Applications bei Censys.