Forescout’un yeni bulguları, geçen yıl Danimarka’da enerji sektörünü hedef alan siber saldırılara Rusya bağlantılı Sandworm hack grubunun katılımının gerçekleşmemiş olabileceğini gösteriyor.
Mayıs 2023’te yaklaşık 22 Danimarka enerji kuruluşunu hedef alan izinsiz girişler iki farklı dalga halinde gerçekleşti; bunlardan biri Zyxel güvenlik duvarındaki (CVE-2023-28771) bir güvenlik açığından yararlanan ve saldırganların Mirai botnet’i kullandığını gören bir takip faaliyet kümesiydi. Henüz bilinmeyen bir başlangıç erişim vektörü yoluyla virüs bulaşmış ana bilgisayarlardaki varyantlar.
İlk dalga 11 Mayıs’ta yaşanırken, ikinci dalga ise 22-31 Mayıs 2023 tarihleri arasında gerçekleşti. 24 Mayıs’ta tespit edilen saldırılardan birinde, ele geçirilen sistemin IP adresleri (217.57.80) ile iletişim kurduğu gözlemlendi.[.]18 ve 70.62.153[.]174) daha önce artık kaldırılmış olan Cyclops Blink botnet’i için komuta ve kontrol (C2) olarak kullanılmıştı.
Ancak Forescout’un saldırı kampanyasını daha yakından incelemesi, yalnızca iki dalganın ilgisiz olduğunu değil, aynı zamanda ikinci dalganın yamalı Zyxel’e karşı daha geniş bir kitlesel sömürü kampanyasının parçası olması nedeniyle devlet destekli grubun işinin olası olmadığını da ortaya çıkardı. güvenlik duvarları. İkili saldırıların arkasında kimin olduğu şu anda bilinmiyor.
“Danimarka’ya yönelik saldırıların ‘ikinci dalgası’ olarak tanımlanan kampanya, öncesinde de başladı ve sonrasında da devam etti. [the 10-day time period]Şirket, “Savaş Sisinin Temizlenmesi” başlıklı bir raporda, “Güvenlik duvarlarını ayrım gözetmeksizin hedef alarak, yalnızca hazırlama sunucularını periyodik olarak değiştiriyor” dedi.
Saldırıların, CVE-2023-28771’in yanı sıra bilinen diğer Zyxel cihazları (CVE-2020-9054 ve CVE-2022-30525) kullanılarak 16 Şubat gibi erken bir tarihte başlamış olabileceğini ve Ekim 2023’e kadar devam ettiğini gösteren kanıtlar var. Avrupa ve ABD’deki çeşitli kuruluşları öne çıkaran etkinlikle
Forescout, “Bu, CVE-2023-27881’in kullanımının Danimarka’nın kritik altyapısıyla sınırlı olmak yerine devam ettiğinin ve açıkta kalan cihazları hedeflediğinin bir başka kanıtıdır; bunlardan bazıları kritik altyapı kuruluşlarını koruyan Zyxel güvenlik duvarlarıdır.” diye ekledi.