威胁情报信息分享|俄罗斯APT组织与对丹麦关键基础设施'有史以来最大的网络攻击'有关

俄罗斯APT组织可能与被称为“对丹麦关键基础设施的最大网络攻击”有关，2023年5月，与该国能源部门运营相关的22家公司成为攻击目标。

丹麦的SektorCERT表示：“针对丹麦关键基础设施的22次同时发生的成功网络攻击并不常见。攻击者事先知道他们将要攻击谁，并且每次都击中目标。没有一次攻击偏离目标。”

该机构表示，他们发现了一些证据，将一个或多个攻击与俄罗斯GRU军事情报机构联系起来，该机构还以Sandworm之名被追踪，并且有组织破坏性网络攻击工业控制系统的记录。这一评估基于与已被追溯到该黑客团伙的IP地址通信的工件。

这些前所未有且协调的网络攻击发生在5月11日，利用了CVE-2023-28771（CVSS评分：9.8），这是一个影响到Zyxel防火墙的严重命令注入漏洞，于2023年4月末公开。

在11家被成功渗透的公司中，威胁行为者执行恶意代码，对防火墙配置进行侦察，并确定下一步行动。

SektorCERT在事件的详细时间线中表示：“这种协调需要计划和资源。同时发动攻击的优势是，有关一次攻击的信息不能在太晚之前传播到其他目标。这使得信息共享的力量失效，因为没有人能提前被警告正在进行的攻击，因为每个人都在同时被攻击。这很不寻常——并且非常有效。”

随后，从5月22日至25日，针对更多组织的第二波攻击被一群使用以前未见过的网络武器的攻击团伙记录下来，这提高了两个不同威胁行为者参与此次行动的可能性。

不过，目前尚不清楚这些团伙是否相互合作，为同一雇主工作，还是独立行动。

这些攻击被怀疑利用了Zyxel设备中的另外两个严重漏洞（CVE-2023-33009和CVE-2023-33010，CVSS评分：9.8）作为零日攻击，将防火墙纳入Mirai和MooBot僵尸网络，因为该公司于2023年5月24日发布了这些漏洞的补丁。

在某些情况下，受损设备被用来对美国和香港的未具名公司进行分布式拒绝服务（DDoS）攻击。

SektorCERT解释说：“在一些漏洞的利用代码在5月30日左右公开后，针对丹麦关键基础设施的攻击尝试激增——尤其是来自波兰和乌克兰的IP地址。”

这些攻击的爆发促使受影响实体断开互联网连接，进入岛屿模式，该机构进一步补充说。

但不仅仅是国家级APT组织。能源部门也越来越成为勒索软件团伙的关注焦点，根据本周早些时候Resecurity发布的一份报告，初始访问代理（IABs）正在积极推广对核能公司的未经授权访问。

随着Censys发现属于NTC Vulkan的六台主机，这一发展变得更加引人注目，NTC Vulkan是一家莫斯科IT承包商，据称向俄罗斯情报机构提供攻击性网络工具，包括Sandworm。

此外，研究还发现了一个名为Raccoon Security的团伙与NTC Vulkan证书之间的联系。

Censys的联邦应用主管Matt Lembright表示：“Raccoon Security是NTC Vulkan的一个品牌，它可能包括Raccoon Security以前或目前参与GRU承包的上述泄露行动。”