Forescout-ի նոր բացահայտումները ցույց են տալիս, որ անցյալ տարի Դանիայում էներգետիկ ոլորտին ուղղված կիբերհարձակումներն առնչություն չունեն Ռուսաստանի հետ կապված Sandworm հաքերային խմբի գործողություններին:
Հարձակողկան արշավները, որոնք թիրախ են դարձել շուրջ 22 դանիական էներգետիկ կազմակերպություններին, տեղի են ունեցել երկու տարբեր ալիքներով, որոնցից մեկը չարաշահել է Zyxel firewall-ի անվտանգության խոցելիությունը (CVE-2023-28771) և follow-on activity cluster-ը, որի հետևանքով հարձակվողները կիրառել են Mirai botnet-ը:
Forescout-ի կողմից հարձակման արշավի ավելի մանրամասն ուսումնասիրությունները ցույց տվեցին, որ ոչ միայն երկու ալիքներն իրար հետ կապ չունեն, այլև անգան քիչ հավանական է նույն մատրավարության կիրառումը: Հարձակման երկրորդ ալիքը լայնածավալ շահագործման արշավի մի մաս էր ընդամենը՝ ուղղված unpatched Zyxel firewall-ին:
Ապացույցների համաձայն հարձակումները մեկնարկել են փետրվարի 16-ին՝ օգտագործելով CVE-2023-28771-ի խոցելիությունը Zyxel սարքերի այլ ակնհայտ խոցելիությունների (CVE-2020-9054-ը և CVE-2022-30525-ը) հետ համատեղ:
«Սա ևս մեկ ապացույց է, որ CVE-2023-27881-ի շահագործումը ոչ միայն սահմանափակվում է Դանիայի կարևոր ենթակառուցվածքների թիրախով, այլ շարունակվում է և ուղղված է exposed device-երին, որոնցից մի քանիսը պարզապես Zyxel firewall են, որոնք պաշտպանում են կարևոր ենթակառուցվածքային կազմակերպությունները», – իր զեկույցում նշել է Forescout-ը:
Աղբյուրը՝ https://thehackernews.com/
