Les cyberattaques ciblant le secteur énergétique au Danemark l’année dernière n’ont peut-être pas impliqué le groupe de piratage Sandworm, lié à la Russie, nouvelles découvertes du spectacle Forescout.
Les intrusions, qui ont ciblé environ 22 organisations énergétiques danoises en mai 2023, se sont produites en deux vagues distinctes, l’une exploitant une faille de sécurité dans le pare-feu Zyxel (CVE-2023-28771) et un cluster d’activités de suivi qui a vu les attaquants déployer le botnet Mirai. variantes sur des hôtes infectés via un vecteur d’accès initial encore inconnu.
La première vague a eu lieu le 11 mai, tandis que la deuxième vague a duré du 22 au 31 mai 2023. Lors d’une de ces attaques détectée le 24 mai, il a été observé que le système compromis communiquait avec des adresses IP (217.57.80[.]18 et 70.62.153[.]174) qui étaient auparavant utilisés comme commande et contrôle (C2) pour le botnet Cyclops Blink, désormais démantelé.
Un examen plus approfondi de la campagne d’attaque par Forescout a cependant révélé que non seulement les deux vagues n’étaient pas liées, mais qu’il était également improbable que le travail du groupe parrainé par l’État soit dû au fait que la deuxième vague faisait partie d’une campagne d’exploitation de masse plus large contre Zyxel non corrigé. pare-feu. On ne sait pas actuellement qui est à l’origine de ces deux séries d’attaques.
« La campagne décrite comme la « deuxième vague » d’attaques contre le Danemark, a commencé avant et s’est poursuivie après [the 10-day time period]ciblant les pare-feux sans discernement d’une manière très similaire, en changeant seulement périodiquement les serveurs de test », a déclaré la société dans un rapport intitulé à juste titre « Dissiper le brouillard de la guerre ».
Il existe des preuves suggérant que les attaques pourraient avoir commencé dès le 16 février en utilisant d’autres failles connues des appareils Zyxel (CVE-2020-9054 et CVE-2022-30525) aux côtés de CVE-2023-28771, et ont persisté jusqu’en octobre 2023, l’activité distinguant diverses entités en Europe et aux États-Unis
« C’est une preuve supplémentaire que l’exploitation du CVE-2023-27881, plutôt que de se limiter aux infrastructures critiques danoises, est en cours et cible les appareils exposés, dont certains se trouvent être des pare-feu Zyxel protégeant les organisations à infrastructures critiques », a ajouté Forescout.