Les acteurs russes de la menace ont peut-être été associés à ce qui a été décrit comme la « plus grande cyberattaque contre les infrastructures critiques danoises », dans laquelle 22 entreprises associées au fonctionnement du secteur énergétique du pays ont été ciblées en mai 2023.
« 22 cyberattaques simultanées et réussies contre des infrastructures critiques danoises ne sont pas monnaie courante », déclare le danois SektorCERT. dit [PDF]. « Les attaquants savaient à l’avance qui ils allaient viser et ont réussi à chaque fois. Pas un seul tir n’a manqué la cible. »
L’agence a déclaré avoir trouvé des preuves reliant une ou plusieurs attaques à l’agence de renseignement militaire russe GRU, qui est également suivie sous le nom de Sandworm et a un historique d’orchestration de cyberattaques perturbatrices contre des systèmes de contrôle industriels. Cette évaluation est basée sur des artefacts communiquant avec des adresses IP qui ont été attribuées à l’équipe de piratage.
Les cyberattaques coordonnées et sans précédent ont eu lieu le 11 mai en exploitant CVE-2023-28771 (score CVSS : 9,8), une faille critique d’injection de commandes impactant les pare-feu Zyxel et révélée fin avril 2023.
Sur les 11 entreprises qui ont été infiltrées avec succès, les acteurs malveillants ont exécuté un code malveillant pour effectuer une reconnaissance des configurations du pare-feu et déterminer la prochaine marche à suivre.
« Ce type de coordination nécessite de la planification et des ressources », a déclaré SektorCERT dans un calendrier détaillé des événements. « L’avantage d’attaquer simultanément est que les informations sur une attaque ne peuvent pas se propager aux autres cibles avant qu’il ne soit trop tard. »
« Cela met hors jeu le pouvoir du partage d’informations, car personne ne peut être prévenu à l’avance de l’attaque en cours puisque tout le monde est attaqué en même temps. C’est inhabituel – et extrêmement efficace. »
Une deuxième vague d’attaques ciblant davantage d’organisations a ensuite été enregistrée du 22 au 25 mai par un groupe d’attaque utilisant des cyber-armes inédites, ce qui soulève la possibilité que deux acteurs menaçants différents soient impliqués dans la campagne.
Cela dit, on ne sait pas encore si les groupes ont collaboré, travaillé pour le même employeur ou agi de manière indépendante.
Ces attaques sont soupçonnées d’avoir utilisé deux autres bugs critiques dans l’équipement Zyxel (CVE-2023-33009 et CVE-2023-33010, scores CVSS : 9,8) en tant que zero-day pour coopter les pare-feu dans les botnets Mirai et MooBot, étant donné que des correctifs correspondants ont été publiés par la société le 24 mai 2023.
Les appareils compromis, dans certains cas, ont été utilisés pour mener des attaques par déni de service distribué (DDoS) contre des sociétés anonymes aux États-Unis et à Hong Kong.
« Après que le code d’exploitation de certaines vulnérabilités ait été rendu public vers le 30 mai, les tentatives d’attaque contre l’infrastructure critique danoise ont explosé – en particulier à partir d’adresses IP en Pologne et en Ukraine », a expliqué SektorCERT.
L’assaut des attaques a incité les entités concernées à se déconnecter d’Internet et à passer en mode insulaire, a ajouté l’agence.
Mais il ne s’agit pas uniquement d’acteurs étatiques. Le secteur de l’énergie devient également de plus en plus une cible pour les groupes de ransomwares, les courtiers d’accès initial (IAB) promouvant activement l’accès non autorisé aux entreprises du secteur de l’énergie nucléaire, selon un rapport. rapport de Resecurity plus tôt cette semaine.
Cette évolution intervient alors que Censys a découvert six hôtes appartenant à NTC Vulkan, un sous-traitant informatique basé à Moscou qui aurait fourni des cyberoutils offensants aux agences de renseignement russes, dont Sandworm.
De plus, la recherche a révélé une connexion avec un groupe appelé Raccoon Security via un certificat NTC Vulkan.
« Racoon Security est une marque de NTC Vulkan et il est possible que les activités de Raccoon Security incluent une participation antérieure ou actuelle aux initiatives divulguées mentionnées précédemment et contractées par le GRU », a déclaré Matt Lembright, directeur des applications fédérales chez Censys. dit.