Af Eskil Sørensen, 19/01/24
Researchere fra sikkerhedsfirmaet Forescout har ikke fundet nogen direkte sammenhæng mellem den russiske gruppe Sandworm og sidste års angreb på energiselskaber i Danmark.
Det fremgår af en artikel i Security Week.
Angrebene foregik i maj 2023, hvor 22 danske energiselskaber blev kompromitteret via sårbarheder i Zyxel firewalls, som det fremgik af SektorCERTs rapport fra november sidste år. Heri hed det, at Sandworm var involveret.
Men Forescout peger i sin analyse på, at Sandworm måske aldrig har været involveret – i al fald ikke direkte som et målrettet angreb mod energisektoren.
Opportunistisk angreb
I stedet var der angiveligt tale om en del af en 'massiv infektionskampagne', som det hedder. Dette finder Forescout frem til ved at kigge på angrebsmønstrene – og det vurderes, at angrebene kunne være en del af en kampagne fra mange forskellige angribere rettet mod Zyxel-enheder, hvor mange firewalls var inficeret med et Mirai-botnet.
Altså et angreb, som Center for Cybersikkerhed plejer at kalde opportunistisk, hvor der skydes angrebsforsøg afsted i et håb om at ramme et eller andet. I dette tilfælde, skriver Forescourt, peger beviser på, at angrebene på de danske energiselskaber ’..var en del af en større kampagne af vilkårlig botnet-udnyttelse ved hjælp af en nyligt populær CVE, snarere end et målrettet angreb.’
To angrebsbølger
Der var tale om to angrebsbølger i maj, hvor den første fandt sted to uger efter at sårbarhederne i Zyxel blev offentliggjort. Den anden angrebsbølge fandt sted en uge før en proof-of-concept udnyttelseskode blev offentliggjort. Man kan således forestille sig, at en kriminel gruppe har brugt to uger på at udvikle en udnyttelseskode, selv anvendt den en uges tid, indtil den blev offentligt kendt, måske via salg på Dark Web. Dette har ført til de opportunistiske angreb, som måske tilfældigt ramte de danske energiselskaber, ifølge Forescout.
Forescout skriver i sin rapport, at den første og anden bølge af angreb ikke ser ud til at være forbundet, og den anden bølge viser tegn på opbygning af et botnet snarere end statssponseret kampagner. Det er det, der får Forescout til at konkludere, at Sandworm ikke har direkte været involveret, men på den anden side kan et specifikt fokus på kritisk infrastruktur ikke udelukkes, hedder det.
Det fremgår af rapporten, at der er over 40.000 internet-tilgængelige Zyxel-firewalls på verdensplan, hvoraf mange beskytter kritiske infrastrukturorganisationer.
Uanset hvad der er sket, om den ene eller andet aktør er involveret, om det har været med en bestemt hensigt at ramme den eller anden sektor, så er analysen et lærebogsstudie i, at mange elementer er i spil, når et cyberangreb sker. Moralen er, at man som minimum skal opdatere sine enheder for at beskytte sig bedst muligt.
Links: