Es posible que los ciberataques dirigidos al sector energético en Dinamarca el año pasado no hayan contado con la participación del grupo de hackers Sandworm, vinculado a Rusia. nuevos hallazgos del programa Forescout.
Las intrusiones, que se dirigieron a unas 22 organizaciones energéticas danesas en mayo de 2023, se produjeron en dos oleadas distintas: una que aprovechó una falla de seguridad en el firewall Zyxel (CVE-2023-28771) y un grupo de actividades de seguimiento en el que los atacantes implementaron la botnet Mirai. variantes en huéspedes infectados a través de un vector de acceso inicial aún desconocido.
La primera ola tuvo lugar el 11 de mayo, mientras que la segunda ola duró del 22 al 31 de mayo de 2023. En uno de esos ataques detectado el 24 de mayo, se observó que el sistema comprometido se comunicaba con direcciones IP (217.57.80[.]18 y 70.62.153[.]174) que anteriormente se utilizaban como comando y control (C2) para la botnet Cyclops Blink, ahora desmantelada.
Sin embargo, un examen más detenido de la campaña de ataque por parte de Forescout ha revelado que no sólo las dos oleadas no estaban relacionadas, sino que también era poco probable que el trabajo del grupo patrocinado por el estado se debiera al hecho de que la segunda oleada era parte de una campaña de explotación masiva más amplia contra Zyxel sin parches. cortafuegos. Actualmente no se sabe quién está detrás de los dos ataques.
«La campaña descrita como la ‘segunda ola’ de ataques contra Dinamarca, comenzó antes y continuó después [the 10-day time period]apuntando a los firewalls indiscriminadamente de una manera muy similar, cambiando sólo los servidores de prueba periódicamente», dijo la compañía en un informe acertadamente titulado «Despejando la niebla de la guerra».
Hay evidencia que sugiere que los ataques pueden haber comenzado ya el 16 de febrero utilizando otras fallas conocidas en los dispositivos Zyxel (CVE-2020-9054 y CVE-2022-30525) junto con CVE-2023-28771, y persistieron hasta octubre de 2023. con la actividad destacando varias entidades en Europa y EE. UU.
«Esta es una prueba más de que la explotación de CVE-2023-27881, en lugar de limitarse a la infraestructura crítica danesa, está en curso y tiene como objetivo dispositivos expuestos, algunos de los cuales resultan ser cortafuegos Zyxel que protegen a las organizaciones de infraestructura crítica», añadió Forescout.