SektorCERT’e göre Danimarka enerji sektörü, Danimarka tarihindeki en kapsamlı siber saldırıya uğradığına inanılıyor.
Danimarka enerji sektörü saldırı altında
Danimarkalı kritik altyapı (CI) şirketlerinin sahibi olduğu ve finanse ettiği bir kuruluş olan SektorCERT, internet trafiğini izlemek ve olası siber saldırıları tespit etmek için ülke çapında uygulanan 270 sensörden oluşan bir ağı ve bu kuruluşları kullanıyor.
Bu noktadan bakıldığında Mayıs 2023’te enerji sektöründeki şirketleri hedef alan üç saldırı dalgası tespit edildi.
İlki, 11 Mayıs’ta, saldırganların 16 şirkette konuşlandırılan Zyxel güvenlik duvarlarındaki bir komut yerleştirme güvenlik açığından (CVE-2023-28771) eşzamanlı olarak yararlanmasıyla başladı. SektorCERT, saldırganların 11 şirketteki cihazların kontrolünü ele geçirdiğini ve arkasındaki kritik altyapıya erişim sağladığını söyledi. Yapılandırma ve aktif hesaplarla ilgili verileri almak için erişimi kullandılar.
CVE-2023-28771, Nisan 2023’te Zyxell tarafından yamalanmış olmasına rağmen, saldırıya uğrayan şirketler çeşitli nedenlerle en son güncellemeleri yüklemedi. İlginç olan ise saldırganların tam olarak hangi şirketleri vuracaklarını bilmeleriydi.
“Şu anda Shodan gibi kamu hizmetlerinde kimin savunmasız cihazlara sahip olduğuna dair bilgi mevcut değildi. Bu nedenle saldırganların, güvenlik duvarlarına kimin sahip olduğu hakkında başka bir yolla bilgi edinmiş olmaları gerekir” diyen kuruluş, sensörlerinin, saldırganların saldırılardan önce gerçekleştirmiş olabileceği taramaları kaydetmediğini de sözlerine ekledi.
“Diğer dikkat çeken şey ise bu kadar çok şirketin aynı anda saldırıya uğramasıydı. Bu tür bir koordinasyon planlama ve kaynak gerektirir.”
SektorCERT’in olay müdahale ekibi, saldırganları, elde edilen erişimden daha fazla yararlanmaya başlamadan önce durdurmayı başardı.
22 Mayıs’ta ikinci saldırı dalgası başladı. SektorCERT, bir sensör tarafından üye kuruluşlarından birinin güvenli olmayan bir bağlantı üzerinden yeni güvenlik duvarı yazılımı indirdiği konusunda uyarıldı. Bu, saldırganların altyapıyı Mirai botnet’e dahil etmelerine ve ele geçirilen kuruluşun internet bağlantısını kesmeden ve “ada moduna” geçmeden (yani izole edilmiş) Hong Kong ve ABD’deki hedeflere karşı bir DDoS saldırısı gerçekleştirmek için kullanmalarına olanak sağladı. ulusal elektrik dağıtım ağı.)
SektorCERT araştırmacıları, ikinci dalga sırasında saldırganların, Zyxel’in birkaç gün sonra (24 Mayıs) açıklayıp yamaladığı iki yeni güvenlik açığından (CVE-2023-33009 ve CVE-2023-33010) yararlandığına inanıyor.
Olası Kum Solucanı Katılımı
SektorCERT’in, uzun yıllardır Ukrayna enerji şebekesini hedef aldığı bilinen Sandworm APT tarafından daha önce kullanılan bir IP’den gelen, güvenliği ihlal edilmiş kuruluşlardan birine yönelik ağ trafiği konusunda uyarıldığı 24 Mayıs’a kadar bir dizi ek saldırı daha devam etti.
“Sandworm’un saldırıda yer alıp almadığı kesin olarak söylenemez. Bunun bireysel göstergeleri gözlemlendi ancak bunu teyit etme veya yalanlama imkanımız yok” dedi.
Saldırılardan bazılarının sadece fırsatçı olması muhtemeldir, diğerlerinin ise daha kötü niyetli bir amacı olabilir. Ancak bunların hiçbiri Danimarka elektrik şebekesinin işleyişini etkilemedi.
SektorCERT, risk göstergeleri (IoC’ler) sunmuş ve kuruluşların ağlarını güvende tutmak için uygulaması gereken teknik ve organizasyonel önlemlere ilişkin 25 öneri sunmuştur.