A dán SektorCERT elemzése szerint 2023. május 11-én összesen 16 villamosenergia céget ért kibertámadás (11-et sikeres, 5-öt sikertelen támadás). Az esetről a dán SektorCERT publikált egy igen alapos, 32 oldalas összefoglalót, amiből a legérdekesebb részeket gyűjtöttem ki.

A támadók a célba vett szervezetek által használt Zyxel tűzfalakban megtalálható, CVE-2023-28771 azonosítójú, kritikus besorolású sérülékenységet használták ki ahhoz, hogy bejussanak az érintett cégek hálózataiba. Az első igazán érdekes részlete az incidenseknek, hogy a SektorCERT-es kollégák szerint a támadók valamilyen nem publikus forrásból tudhatták, hogy melyik cégek használják az érintett Zyxel tűzfalakat, mert ezt az információt publikus forrásokból (pl. Shodan vagy Censys keresőket használva) nem lehetett megszerezni és jelenleg nincs is értékelhető magyarázatuk arra, hogy a támadók honnan tudták, hogy milyen tűzfalak elleni támadásra kell felkészülniük.

A másik kiemelt részlet az elemzésben az egyszerre megtámadott szervezetek nagy száma, ami jelentős erőforrásokat és koordinációt igényel a támadók oldaláról. Emellett viszont vitathatatlan előny a támadók számára, hogy ilyen módon az első támadásról szóló információk nem tudja figyelmeztetni a többi, megtámadni szervezetet. Ráadásul így a SektorCERT-nek egyszer nem egy, hanem 16 incidens kezelését kellett elvégeznie/koordinálnia (ezt már ugyan én teszem hozzá, hogy meglehetősen irigylésre méltónak tartom azt, hogy a dán villamosenergia-szektor CERT-jének van arra erőforrása, hogy egyidőben 16 incidenst vizsgáljon és csökkentse a károk mértékét - szeretném én ennek a képességnek és tapasztalatnak akár csak a felét vagy negyedét látni a hazai környezetben...)

A támadás második hulláma május 22-én indult. Jelenleg nem lehet tudni, hogy a 22-i támadás(ok?)ért ugyanaz a támadói csoport felelős, mint a 11-i támadásért vagy egy teljesen másik csoport, de a SektorCERT munkatársai arra következtetnek, hogy feltehetően két csoport állhat a két támadás mögött.

A második támadás kiindulópontja ismét egy tűzfal volt, ami egy szoftverletöltés után úgy kezdett viselkedni, mint a Mirai botnet által fertőzött számítógépek. 22-én még nem lehetett tudni, hogy a támadók ezúttal milyen sérülékenységen keresztül kompromittálták a tűzfalat, aztán május 24-én a Zyxel két új sérülékenységről (CVE-2023-33009 és CVE-2023-33010) publikált részleteket. A SektorCERT elemzőinek oka van feltételezni, hogy a támadóknak tudomásuk lehetett a fenti két sérülékenységről még azok publikálása előtt.

A támadások május 23-án is folytatódtak és újabb szervezethez tudtak betörni a támadók, aminek a hálózatából brute force SSH-támadást indítottak egy kanadai cég rendszerei ellen, mielőtt a SektorCERT és a dán cég ki tudták volna zárni a támadókat a dán villamosenergia cég rendszereiből.

24-én több újabb céget ért támadás, ezeket a támadásokat elemezve a SektorCERT munkatársai újabb részleteket tudtak megfigyelni a támadók módszereiről. Aznap esti riasztások alapján a SektorCERT okkal feltételezi, hogy a támadások legalább egy részéért a Sandworm nevű, GRU/GU-hoz köthető orosz APT csoport lehet a felelős.

25-én újabb támadások történtek, amik megerősítették a SektorCERT munkatársait abbéli feltételezésükben, hogy a támadásokat a Sandworm hajtja végre.

Ez az események lényege, a fent hivatkozott dokumentumban még számos következtetést és ajánlást adott közre a SektorCERT, amiket mindenkinek, aki kritikus infrastruktúrák kiberbiztonságával foglalkozik, hasznos lehet elolvasni és végiggondolni, mit és hogyan tudnának a saját rendszereikre vonatkozóan alkalmazni.