Los actores de amenazas rusos posiblemente hayan estado vinculados a lo que se ha descrito como el «mayor ciberataque contra la infraestructura crítica danesa», en el que 22 empresas asociadas con la operación del sector energético del país fueron atacadas en mayo de 2023.
«22 ciberataques simultáneos y exitosos contra infraestructuras críticas danesas no son algo común», afirma SektorCERT de Dinamarca dicho [PDF]. «Los atacantes sabían de antemano a quién iban a apuntar y acertaron en todo momento. Ningún disparo falló en el objetivo».
La agencia dijo que encontró evidencia que conecta uno o más ataques con la agencia de inteligencia militar rusa GRU, que también es rastreada bajo el nombre de Sandworm y tiene un historial de orquestar ataques cibernéticos disruptivos contra sistemas de control industrial. Esta evaluación se basa en artefactos que se comunican con direcciones IP que han sido rastreadas hasta el equipo de piratería.
Los ciberataques coordinados y sin precedentes tuvieron lugar el 11 de mayo mediante la explotación de CVE-2023-28771 (puntuación CVSS: 9,8), una falla crítica de inyección de comandos que afecta a los firewalls de Zyxel y que se reveló a finales de abril de 2023.
En las 11 empresas que fueron infiltradas con éxito, los actores de amenazas ejecutaron código malicioso para realizar un reconocimiento de las configuraciones del firewall y determinar el siguiente curso de acción.
«Este tipo de coordinación requiere planificación y recursos», afirmó SektorCERT en un cronograma detallado de los acontecimientos. «La ventaja de atacar simultáneamente es que la información sobre un ataque no puede difundirse a otros objetivos antes de que sea demasiado tarde».
«Esto deja fuera de juego el poder del intercambio de información porque nadie puede ser advertido de antemano sobre el ataque en curso, ya que todos son atacados al mismo tiempo. Es inusual y extremadamente efectivo».
Posteriormente, del 22 al 25 de mayo, un grupo de ataque con armas cibernéticas nunca antes vistas registró una segunda ola de ataques dirigidos a más organizaciones, lo que plantea la posibilidad de que dos actores de amenazas diferentes estuvieran involucrados en la campaña.
Dicho esto, actualmente no está claro si los grupos colaboraron entre sí, trabajaron para el mismo empleador o actuaron de forma independiente.
Se sospecha que estos ataques han convertido en armas dos errores críticos más en el equipo Zyxel (CVE-2023-33009 y CVE-2023-33010, puntuaciones CVSS: 9,8) como días cero para incorporar los firewalls a las botnets Mirai y MooBot, dado que La empresa lanzó los parches para ellos el 24 de mayo de 2023.
Los dispositivos comprometidos, en algunos casos, se utilizaron para realizar ataques distribuidos de denegación de servicio (DDoS) contra empresas anónimas en EE. UU. y Hong Kong.
«Después de que alrededor del 30/5 se hiciera público el código de explotación de algunas de las vulnerabilidades, estallaron los intentos de ataque contra la infraestructura crítica danesa, especialmente desde direcciones IP en Polonia y Ucrania», explicó SektorCERT.
La avalancha de ataques llevó a las entidades afectadas a desconectarse de Internet y pasar al modo isla, añadió la agencia.
Pero no se trata sólo de los actores del Estado-nación. El sector energético también se está convirtiendo cada vez más en el foco de los grupos de ransomware, y los intermediarios de acceso inicial (IAB) promueven activamente el acceso no autorizado a empresas de energía nuclear, según un informe de Resecurity a principios de esta semana.
El desarrollo se produce cuando Censys descubrió seis hosts pertenecientes a NTC Vulkan, un contratista de TI con sede en Moscú que supuestamente proporcionó herramientas cibernéticas ofensivas a las agencias de inteligencia rusas, incluido Sandworm.
Además, la investigación descubrió una conexión con un grupo llamado Raccoon Security a través de un certificado NTC Vulkan.
«Racoon Security es una marca de NTC Vulkan y es posible que las actividades de Raccoon Security incluyan una participación anterior o actual en las iniciativas filtradas mencionadas anteriormente y contratadas por el GRU», Matt Lembright, director de Aplicaciones Federales de Censys, dicho.