Pro-russiske hacktivister udnytter svage OT-Systemer i ny angrebsbølge

Eskil Sørensen
12.11.2025 09:31
Hacktivister med simple værktøjer skaber komplekse problemer i USA: Nye angreb mod OT-systemer viser, hvor farligt svage adgangskontroller kan være.

En ny fælles rapport fra CISA, FBI, NSA og internationale partnere advarer om en bølge af cyberangreb mod kritisk infrastruktur i USA. Angrebene udføres af løst organiserede pro-russiske hacktivistgrupper, der udnytter eksponerede Virtual Network Computing (VNC)-forbindelser til at kompromittere Operational Technology (OT)-systemer.

Det skriver Infosecurity Magazine og Dark Reading.

Simple værktøjer 

Hacktivisterne retter sig mod sektorer som vandsektor, fødevareproduktion og energi. Ifølge rapporten anvender grupperne simple værktøjer til portscanning og brute-force angreb mod svage eller manglende adgangskoder på internet-eksponerede Human-Machine Interfaces (HMI).

Infosecurity Magazine skriver, at selvom angrebene er mindre avancerede end statsligt styrede trusler, har de i flere tilfælde medført fysiske konsekvenser. Operatørerne har bl.a. oplevet  deaktiverede alarmer og genstartede enheder, hvilket har krævet manuel indgriben og medført betydelige omkostninger til genopretning. 

Noget som også blev set i Danmark ifm. kompromitteringen af et vandværk i Køge.

Usual suspects

Rapporten fremhæver fire grupper:

  • Cyber Army of Russia Reborn (CARR): Aktiv siden 2022, med kendte angreb mod vandforsyning og fødevareproduktion.
  • NoName057(16): Kendt for DDoS-angreb og propaganda via Telegram.
  • Z-Pentest: Opstået i 2024 som en afsplittet gruppe fra CARR og NoName057(16), med fokus på OT-intrusion frem for DDoS.
  • Sector16: Nyeste aktør, dannet i 2025, med angreb rettet mod energisektoren.

Grupperne deler ifølge rapporten metoder og teknikker, hvilket øger risikoen for mere koordinerede angreb fremover. Flere af dem har modtaget direkte eller indirekte støtte fra russiske statsrelaterede organisationer, hvilket understreger den geopolitiske dimension, fremgår det.

Effektivt mønster 

Angrebene følger et simpelt, men effektivt mønster:

  1. Scanning: Identificering af åbne VNC-porte.
  2. Brute Force: Misbrug af svage adgangskoder.
  3. Adgang: Tilkobling til HMI-enheder.
  4. Manipulation: Ændring af parametre, deaktivering af alarmer og genstart af enheder.
  5. Dokumentation: Optagelse af skærmbilleder til propagandaformål.

Dette får CISA til at advare: "Organisationer, der opdager eksponerede systemer med svage credentials, bør antage kompromittering og straks igangsætte incident response!

Selvom angrebene er relativt usofistikerede, viser de en klar intention om at forårsage skade. 

Læs mere

Information