Οι κυβερνοεπιθέσεις που στόχευαν εταιρείες ενέργειας στη Δανία πέρυσι μπορεί τελικά να μην σχετίζονταν με τους Ρώσους hackers Sandworm, όπως αρχικά είχε ειπωθεί.
Οι επιθέσεις, οι οποίες στόχευσαν περίπου 22 οργανισμούς ενέργειας της Δανίας τον Μάιο του 2023, έγιναν σε δύο διακριτά κύματα. Το πρώτο εκμεταλλεύτηκε μια ευπάθεια σε Zyxel firewall (CVE-2023-28771). Στο δεύτερο κύμα επιθέσεων, χρησιμοποιήθηκαν παραλλαγές του Mirai botnet μέσω ενός άγνωστου (ακόμη) φορέα αρχικής πρόσβασης.
Οι πρώτες επιθέσεις έλαβαν χώρα στις 11 Μαΐου, ενώ το δεύτερο κύμα διήρκεσε από τις 22 έως τις 31 Μαΐου 2023. Σε μια από τις επιθέσεις του δεύτερου κύματος παρατηρήθηκε ότι το παραβιασμένο σύστημα επικοινωνούσε με διευθύνσεις IP (217.57.80[.] 18 και 70.62.153[.]174) που είχαν χρησιμοποιηθεί προηγουμένως ως command-and-control (C2) για το πλέον ανενεργό Cyclops Blink botnet.
Δείτε επίσης: Μεγάλες εταιρείες ενέργειας έχουν επηρεαστεί από παραβιάσεις προμηθευτών
Ωστόσο, σύμφωνα με νέα ευρήματα της Forescout, τα δύο κύματα επιθέσεων ήταν άσχετα μεταξύ τους και μάλλον δεν σχετίζονται με τους Ρώσους hackers. Η εταιρεία λέει ότι το δεύτερο κύμα επιθέσεων που κράτησε πολλές μέρες, σε αντίθεση με το πρώτο, ήταν μέρος μιας ευρύτερης εκστρατείας μαζικής εκμετάλλευσης ενάντια σε μη ενημερωμένα Zyxel firewalls. Προς το παρόν δεν είναι γνωστό ποιος βρίσκεται πίσω από τις επιθέσεις.
“Η καμπάνια που περιγράφεται ως το «δεύτερο κύμα» επιθέσεων στη Δανία, ξεκίνησε πριν και συνεχίστηκε μετά από [τη χρονική περίοδο των 10 ημερών], στοχεύοντας αδιάκριτα τα firewalls με πολύ παρόμοιο τρόπο, αλλάζοντας μόνο staging servers περιοδικά“, ανέφερε η εταιρεία σε έκθεση με τίτλο «Clearing the Fog of War».
Υπάρχουν στοιχεία που υποδηλώνουν ότι οι επιθέσεις μπορεί να άρχισαν ήδη από τις 16 Φεβρουαρίου χρησιμοποιώντας άλλες ευπάθειες σε συσκευές Zyxel (CVE-2020-9054 και CVE-2022-30525) παράλληλα με το CVE-2023-28771. Επίσης, οι επιθέσεις μπορεί να συνεχίστηκαν μέχρι τον Οκτώβριο του 2023, στοχεύοντας και άλλες οντότητες σε όλη την Ευρώπη και τις Η.Π.Α.
Δείτε επίσης: HSE: Η εταιρεία ηλεκτρικής ενέργειας της Σλοβενίας υπέστη επίθεση ransomware
“Αυτό είναι μια περαιτέρω απόδειξη ότι η εκμετάλλευση του CVE-2023-27881, αντί να περιορίζεται στη Δανέζικη υποδομή, είναι σε εξέλιξη και στοχεύει εκτεθειμένες συσκευές, μερικές από τις οποίες τυχαίνει να είναι Zyxel firewalls που προστατεύουν οργανισμούς υποδομής ζωτικής σημασίας“, πρόσθεσε η Forescout.
Συνέπειες επιθέσεων σε εταιρείες ενέργειας
Όπως και να έγιναν οι επιθέσεις, ένα είναι σίγουρο. Οι κυβερνοεπιθέσεις στις εταιρείες ενέργειας μπορούν να έχουν σοβαρές συνέπειες. Πρώτον, μπορούν να προκαλέσουν διακοπές στην παροχή ενέργειας, επηρεάζοντας τόσο τις επιχειρήσεις όσο και τους ιδιώτες.
Δεύτερον, μπορούν να προκαλέσουν σημαντικές οικονομικές απώλειες για τις εταιρείες ενέργειας. Αυτό μπορεί να οφείλεται στην ανάγκη για αποκατάσταση των συστημάτων, την απώλεια εσόδων λόγω διακοπής της παροχής, καθώς και τις πιθανές νομικές επιπτώσεις.
Δείτε επίσης: Η Ransomware Ομάδα Rhysida εισέβαλε σε δίκτυο κινεζικού ομίλου ενέργειας
Τρίτον, η εμπιστοσύνη των πελατών και των επενδυτών μπορεί να υπονομευτεί από τις κυβερνοεπιθέσεις. Αυτό μπορεί να οδηγήσει σε απώλεια πελατών και επενδυτικού κεφαλαίου.
Τέλος, οι κυβερνοεπιθέσεις μπορούν να προκαλέσουν ζημιές στην υποδομή της ενέργειας. Αυτό μπορεί να έχει μακροπρόθεσμες επιπτώσεις στην ικανότητα της εταιρείας να παράγει και να διανέμει ενέργεια.
Πηγή: thehackernews.com