根据网络安全机构Forescout的最新研究成果表明,去年发生在丹麦能源行业的网络攻击事件与此前普遍怀疑的与俄罗斯相关的Sandworm黑客团伙的关联可能并不存在。
丹麦能源部网络攻击
2023年5月,大约22家丹麦能源机构遭遇了分为两波的网络入侵。第一波利用了Zyxel防火墙的安全漏洞(CVE-2023-28771),随后的活动中,攻击者通过尚未知晓的初始访问途径,在被感染的主机上部署了Mirai僵尸网络的变种。
第一波攻击发生在5月11日,而第二波攻击则从5月22日持续到31日。在5月24日检测到的一次攻击中,发现受损的系统正在与IP地址(217.57.80[.]18和70.62.153[.]174)通信,这些地址此前被用作已被解构的Cyclops Blink僵尸网络的命令控制(C2)服务器。
攻击活动分析
然而,Forescout对攻击活动的仔细分析揭示了两波攻击不仅彼此无关,而且很可能不是国家支持的黑客组织所为;因为第二波攻击是针对未打补丁的Zyxel防火墙的更广泛的大规模利用活动的一部分。目前尚不清楚这两组攻击背后的具体行为者。
公司在一份名为《消除战争迷雾》的报告中表示:“被描述为对丹麦的‘第二波’攻击的活动,实际上在[10天时间段]之前就开始,并在之后继续,以非常相似的方式无差别地针对防火墙,只是定期更换中转服务器。”
网络攻击持续性
有证据显示,这些攻击可能早在2月16日就已经开始,使用Zyxel设备的其他已知漏洞(CVE-2020-9054和CVE-2022-30525)以及CVE-2023-28771,并持续到2023年10月,活动针对欧洲和美国的不同实体。
Forescout补充道:“这进一步证实了对CVE-2023-27881的利用,并非仅限于丹麦关键基础设施的攻击,而是正在进行中,并针对暴露的设备,其中一些恰好是保护关键基础设施组织的Zyxel防火墙。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/cyberattacks-not-linked-to-sandworm-hacker-group.html
