Кибератаки, нацеленные на энергетический сектор Дании в прошлом году, возможно, не имели отношения к хакерской группе Sandworm, связанной с Россией, показывают новые данные Forescout.
Вторжения, которые были нацелены примерно на 22 датские энергетические организации в мае 2023 года, происходили двумя отдельными волнами: одна из них использовала уязвимость в брандмауэре Zyxel (CVE-2023-28771) и последующая группа действий, в результате которой злоумышленники внедрили варианты ботнета Mirai на зараженных хостах с помощью пока неизвестного начального вектора доступа.
Первая волна имела место 11 мая, в то время как вторая волна длилась с 22 по 31 мая 2023 года. В ходе одной такой атаки, обнаруженной 24 мая, было замечено, что скомпрометированная система обменивалась данными с IP-адресами (217.57.80[.]18 и 70.62.153 [.]174), которые ранее использовались в качестве командования и контроля (C2) для ныне демонтированного ботнета Cyclops Blink.
Однако более тщательное изучение кампании атак Forescout показало, что не только две волны не были связаны, но и вряд ли это была работа группы, спонсируемой государством, поскольку вторая волна была частью более широкой кампании массовой эксплуатации незащищенных брандмауэров Zyxel. В настоящее время неизвестно, кто стоит за двумя наборами атак.
"Кампания, описанная как "вторая волна" атак на Данию, началась до и продолжалась после [10-дневного периода], нацеливаясь на брандмауэры без разбора очень похожим образом, только периодически меняя промежуточные серверы", - говорится в отчете компании, удачно озаглавленном "Рассеивание тумана войны".
Есть основания полагать, что атаки могли начаться еще 16 февраля с использованием других известных дефектов устройств Zyxel (CVE-2020-9054 и CVE-2022-30525) наряду с CVE-2023-28771, и продолжались вплоть до октября 2023 года, причем активность была затронута различными организациями по всей Европе и США.
"Это еще одно доказательство того, что эксплуатация CVE-2023-27881 не ограничивается критической инфраструктурой Дании, а продолжается и нацелена на незащищенные устройства, некоторые из которых просто являются брандмауэрами Zyxel, защищающими организации критической инфраструктуры", - добавил Forescout.
Вторжения, которые были нацелены примерно на 22 датские энергетические организации в мае 2023 года, происходили двумя отдельными волнами: одна из них использовала уязвимость в брандмауэре Zyxel (CVE-2023-28771) и последующая группа действий, в результате которой злоумышленники внедрили варианты ботнета Mirai на зараженных хостах с помощью пока неизвестного начального вектора доступа.
Первая волна имела место 11 мая, в то время как вторая волна длилась с 22 по 31 мая 2023 года. В ходе одной такой атаки, обнаруженной 24 мая, было замечено, что скомпрометированная система обменивалась данными с IP-адресами (217.57.80[.]18 и 70.62.153 [.]174), которые ранее использовались в качестве командования и контроля (C2) для ныне демонтированного ботнета Cyclops Blink.
Однако более тщательное изучение кампании атак Forescout показало, что не только две волны не были связаны, но и вряд ли это была работа группы, спонсируемой государством, поскольку вторая волна была частью более широкой кампании массовой эксплуатации незащищенных брандмауэров Zyxel. В настоящее время неизвестно, кто стоит за двумя наборами атак.
"Кампания, описанная как "вторая волна" атак на Данию, началась до и продолжалась после [10-дневного периода], нацеливаясь на брандмауэры без разбора очень похожим образом, только периодически меняя промежуточные серверы", - говорится в отчете компании, удачно озаглавленном "Рассеивание тумана войны".
Есть основания полагать, что атаки могли начаться еще 16 февраля с использованием других известных дефектов устройств Zyxel (CVE-2020-9054 и CVE-2022-30525) наряду с CVE-2023-28771, и продолжались вплоть до октября 2023 года, причем активность была затронута различными организациями по всей Европе и США.
"Это еще одно доказательство того, что эксплуатация CVE-2023-27881 не ограничивается критической инфраструктурой Дании, а продолжается и нацелена на незащищенные устройства, некоторые из которых просто являются брандмауэрами Zyxel, защищающими организации критической инфраструктуры", - добавил Forescout.
