丹麦关基设施遭受该国史上最大规模的网络攻击

近日，据丹麦关键基础设施部门计算机安全事件响应小组 (CSIRT) SektorCERT 报告称，5 月份，丹麦关键基础设施面临该国有记录以来最大规模的网络攻击。

第一波攻击于5月11日发起，短暂停顿后，第二波攻击于5月22日开始。SektorCERT 于 5月22日意识到这些攻击。

SektorCERT报告称，威胁行为者破坏了22家从事能源基础设施运营的公司的网络。报告称，11家公司立即受到损害。攻击者利用了丹麦许多关键基础设施运营商使用的 Zyxel 防火墙中的零日漏洞。

2023年4月25日，合勤科技披露了其多个防火墙中的一个严重漏洞（CVSS 评分 9.8），编号为CVE-2023-28771 。该漏洞是 Zyxel ZyWALL/USG 系列固件版本 4.60 至 4.73、VPN 系列固件版本 4.60 至 5.35、USG FLEX 系列固件版本 4.60 至 5.35 以及 ATP 系列固件版本 4.60 至 5.35 中错误消息处理不当。未经身份验证的远程攻击者可以通过向易受攻击的设备发送特制数据包并远程执行一些操作系统命令来触发该缺陷。

合勤科技发布了安全补丁来解决该漏洞，并提醒客户安装它们。

供应商发布的公告：“某些防火墙版本中错误消息处理不当可能会允许未经身份验证的攻击者通过向受影响的设备发送精心设计的数据包来远程执行某些操作系统命令。该漏洞本身是通过向易受攻击的 Zyxel 设备通过 UDP 协议向端口 500 发送单个特制数据包来利用的。该数据包由 Zyxel 设备上的互联网密钥交换 (IKE) 数据包解码器接收。上述漏洞正是在这个解码器中。结果是攻击者可以直接在设备上以 root 权限执行命令，而无需身份验证。”

SektorCERT指出：可以通过向设备发送单个数据包来执行攻击。11 家公司立即受到损害。这意味着攻击者获得了这些公司的防火墙的控制权，从而可以访问其背后的关键基础设施。

SektorCERT 专家认为，攻击者拥有有关目标的详细信息，这些信息可能是通过以前未被发现的侦察活动获得的。目前，还没有关于哪些组织正在使用易受攻击的防火墙的公开信息。

以下是报告中描述的总体攻击的网络杀伤链：

到目前为止，还没有明确解释袭击者如何获得必要的信息，但我们可以说，在300名成员中，他们没有错过任何一枪。

专家还指出，攻击者能够同时攻击许多公司，避免受影响的基础设施与同行共享有关攻击的信息。这种协调需要规划和资源。

威胁行为者能够在大规模活动中利用零日漏洞，这种情况表明攻击者可能是 APT 组织。专家认为，袭击者是由多个威胁组织实施的，其中至少有一个可归因于与俄罗斯有联系的“沙虫”组织。

该报告包括在攻击中观察到的妥协指标 (IOC)。

“无法确定沙虫是否参与了这次袭击。我们已经观察到了这方面的个别迹象，但我们没有机会既不确认也不否认。这种情况本身并不罕见。众所周知，网络攻击很难归因于特定的攻击者，而且通常攻击者发出的很小的、几乎微不足道的错误就可以表明攻击者可能是谁。因此，没有证据指控俄罗斯参与了这次袭击。我们唯一可以确定的是，丹麦的关键基础设施受到关注，网络武器正在针对我们的基础设施使用，这需要仔细监控和高级分析才能发现。”报告总结道。

扫描下方二维码即可获得报告全文：