Zyxel güvenlik duvarı cihazlarının kitlesel istismarından oluşan bir “suç dalgası”, Avrupa’daki kritik altyapıyı etkisi altına alıyor – ve bu tür saldırılarda uzmanlaşmış, Rus devleti destekli gelişmiş kalıcı tehdit (APT) Sandworm, bunun yalnızca bir kısmının arkasında yer alıyor.
Buna göre Forescout Research, Vedere Labs’tan bir analiz bu hafta ikisinden biri daha önce Mayıs ayında Danimarka enerji sektörüne yönelik saldırılar rapor edilmişti yanlışlıkla Sandworm’a atfedildi.
Zyxel Güvenlik Duvarlarında CVE-2023-27881’in Toplu Kullanımı
O dönemde, Danimarkalı kritik altyapı güvenliği kar amacı gütmeyen kuruluşu SektorCERT, saldırganların hedefleri ulusal şebekeden izole etmek için Zyxel donanımındaki iki sıfır gün de dahil olmak üzere çok sayıda kritik güvenlik açığından yararlandığını ve bilinen komuta ve kontrol (C2) sunucularının bu güvenlik açığından yararlandığını belirtti. Sandworm ile ilişkilendirilebilecek iki farklı kampanyaya katıldılar.
Ancak daha ileri analizler, “ikinci saldırı dalgasının, yeni ‘popüler’ bir güvenlik duvarı kullanan yamalı güvenlik duvarlarından yararlandığını gösteriyor. CVE-2023-27881ve ek [C2] Firmaya göre “adresler bildirilmedi.” “Öngörücü kanıtlar, ikinci dalganın ayrı bir kitlesel sömürü kampanyasının parçası olduğunu gösteriyor.”
Forescout araştırmacıları, faillerin ayrım gözetmeksizin güvenlik duvarlarını hedeflediklerini ve yalnızca hazırlama sunucularını periyodik olarak değiştirdiklerini belirtti; bu, kötü şöhretli APT’ninkinden çok farklı bir MO’dur.
“Birini ayırt etmek kritik altyapıyı bozmayı amaçlayan devlet destekli kampanya Forescout Research’ün araştırmadan sorumlu başkan yardımcısı Elisa Costante, “ve aynı zamanda ikisi arasındaki potansiyel örtüşmeleri de hesaba katan kitlesel sömürü kampanyalarından oluşan bir suç dalgası, geriye dönüp bakıldığında, o anın hararetiyle olduğundan daha kolay yönetilebilir” diyor. “Bu rapor, konunun öneminin altını çiziyor” Operasyonel teknoloji (OT) ağ izlemesini geliştirmek ve olay müdahale planlarını geliştirmek için gözlemlenen olayları kapsamlı tehdit ve güvenlik açığı istihbaratıyla bağlamsallaştırma.”
Danimarka saldırılarının ardından daha fazla siber aktivite aylar boyunca dünya çapındaki kritik altyapıdaki açıkta kalan cihazları hedef aldı; Forescout araştırmacıları Ekim ayı gibi yakın bir tarihte Zyxel hatasını çeşitli cihazlarda istismar etmeye çalışan çok sayıda IP adresi tespit etti. Ve saldırılar hala devam edebilir: Forescout’a göre, Avrupa ülkelerindeki en az altı farklı enerji şirketi Zyxel güvenlik duvarlarını kullanıyor ve kötü niyetli aktörlerin potansiyel istismarına açık olmaya devam edebilir.
Kritik Altyapı: Sadece Devlet Destekli Bir Hedef Değil
Viakoo’daki Viakoo Laboratuvarları başkan yardımcısı John Gallagher’a göre, çok çeşitli fırsatçı siber saldırganların ICS oyununa giriyor olması siber savunucuları endişelendirmeli.
“Forescout’un analizi yayılmaya işaret ediyor ulus devletin yönlendirdiği siber istismarlar endişe verici bir trend olan kitlesel sömürü kampanyalarına karşı” diyor ve şöyle devam ediyor: “‘Kitlesel pazardaki’ tehdit aktörleri, ICS sistemlerinin benzersiz dilleri ve protokolleri dahilinde çalışma konusunda daha becerikli hale geldikçe, bağlantılı olmayan tehdit aktörlerinin ‘olduğu gibi’ sağlama riski önemli ölçüde artıyor. -a-hizmet’ ICS’den yararlanma.”
Ontinue güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones, bu eğilimin kamu hizmetleri ve diğer kritik altyapı ortamları tarafından kullanılan teknolojinin modernizasyonuyla ironik bir şekilde daha da kötüleşeceğini belirtiyor.
Jones, “Altyapı giderek daha fazla bağlantılı hale geldikçe ve dijital sistemlere bağımlı hale geldikçe, siber suçlulara yönelik potansiyel saldırı yüzeyi de artıyor” diye açıklıyor. “İlerleyen süreçte bu sistemlerdeki belirli güvenlik açıklarından yararlanan daha karmaşık saldırılar görmeyi bekleyebiliriz. Ayrıca, verilerin sürekli artan değeri, özellikle değerli veya hassas bilgileri çıkarmayı veya şifrelemeyi amaçlayan daha hedefli fidye yazılımı saldırılarına yol açabilir.”