5 月,22 个丹麦能源部门组织在与俄罗斯 Sandworm APT 部分相关的攻击中受到损害。
丹麦关键基础设施安全非营利组织 SektorCERT 的一份新报告描述了不同的攻击者群体利用合勤防火墙设备中的多个关键漏洞(包括两个零日漏洞)侵入工业机械,迫使某些目标“孤岛”,将其与网络隔离。
部分但并非全部违规行为涉及与已知由 Sandworm 使用的服务器的通信,该组织因其之前的多次网格攻击而令人担忧。
但这不仅仅是针对能源行业的国家级 APT。网络安全公司 Resecurity 最近的一份报告描述了网络犯罪组织对能源部门的攻击大幅增加,这似乎也在丹麦的攻击中发挥了作用。
民族国家 APT 是针对能源的最大威胁,因为外国情报机构将其用作影响国家经济和国家安全的工具。
网络犯罪分子也在其中发挥着重要作用,因为他们通常通过损害供应链中的员工和操作员(包括工程师)来获得唾手可得的成果。
第一波浪潮
4 月底,通信设备公司 Zyxel 披露了一个影响其防火墙和 VPN 设备固件的命令注入漏洞。
CVE-2023-28771允许任何攻击者制作消息以执行远程、未经授权的操作系统命令,该漏洞的 CVSS 评级为 9.8“严重”。
许多参与运营丹麦电网的组织都使用合勤防火墙作为互联网和工业控制系统(控制可靠性的系统)和安全关键设备之间的缓冲区。
两周后,也就是 5 月 11 日,这些都落了空。
攻击者事先就知道他们想要攻击的人,没有一次失手。大约 11 家能源公司立即受到攻击,关键基础设施暴露给攻击者。在另外五个组织中,攻击者未能成功获得控制权。
在执法部门连夜的帮助下,所有 11 家受感染的公司都得到了保护。但仅仅 11 天后,看似不同的攻击者就尝试了这一行动。
此外,更复杂的攻击
这一次,在最初的漏洞得到控制的情况下,攻击者将两个零日漏洞(CVE-2023-33009和CVE-2023-33010)武器化,这两个漏洞都是 9.8“严重”缓冲区溢出漏洞,影响相同的防火墙。
他们于 5 月 22 日至 25 日对多家能源行业公司发起攻击,部署了多个不同的有效负载,包括 DDoS 工具和 Mirai 变体 Moobot。
攻击者尝试了不同的有效负载,看看哪种有效负载效果最好,这就是为什么下载了几个不同的有效负载。
在此期间,根据当局的建议或仅仅出于谨慎的考虑,多个目标作为“孤岛”运行,与国家电网的其他部分隔绝。
在其中一些情况下,单个网络数据包是从已知与 Sandworm 相关的服务器传送的。
值得注意的是,俄罗斯大约在同一时间在丹麦开展了其他秘密行动。尽管如此,SektorCERT 并未提供明确的归属。
网络犯罪分子参与行动
尽管在丹麦前所未有,但在全球范围内,针对关键能源公司的民族国家攻击并不新鲜。
我们看到来自朝鲜和伊朗的多起针对核能领域的有针对性的攻击,特别是为了获取敏感知识产权、员工信息及其访问权限,以及渗透到供应链。
但这不仅仅是民族国家的 APT。到 5 月 30 日,即两个零日漏洞公布一周后,SektorCERT 观察到针对丹麦关键基础设施的攻击尝试呈爆炸式增长,尤其是来自波兰和乌克兰的 IP 地址。
以前针对的是个别选定的公司,现在每个人都遭到枪击”枪林弹雨——包括不易受到攻击的防火墙。
他们看到了高风险和相应的高回报,随着越来越多的组织(如Alphv、Lockbit 和其他组织)继续成功攻击能源行业,越来越多的勒索软件组织开始注意到针对这些类型的组织并对其产生影响所带来的潜在收益。
此外,能源行业的受害者增加了很多‘街头信誉’ 致那些成功攻击这些组织并侥幸逃脱惩罚的团体。
正如丹麦所证明的那样,只有当有效的监控和防御与公司和执法部门之间的合作相结合时,此类攻击才能被制止。
归根结底,这是一个需要在多个团队和工具之间进行整体解决和协调的问题。
