A háború ködének tisztázása

Editors' Pick
Geronimo

A Forescout jelentése (Clearing the Fog of War) új bizonyítékokat mutat be két, korábban dokumentált támadással kapcsolatban, amelyek 2023 májusában a dán energiaszektort érintették. A Forescout Research – Vedere Labs független elemzést végzett ezekről a támadásokról, és egy nagyobb kampányt fedezett fel, amelyet nem lehetett teljes mértékben a Sandworm nevű Advanced Persistent Threat (APT) csoportnak tulajdonítani, valamint egyéb olyan megállapításokat, amelyeket a dán CERT, a SektorCERT nem tett közzé a 2023. novemberi jelentésében.

Az Adversary Engagement Environment (AEE) megfigyelései során a Vedere Labs két jelentős megállapítást tett:

  • A Sandworm nem az általános fenyegető szereplő: A Forescout kutatói részletesen bemutatták, hogy a második hullámban a kritikus infrastruktúrát más technikával célozták meg, mint az első támadási hullámban. Ez arra utal, hogy a Sandwormra nem lehet rámutatni, mint a mindkét támadási hullámmal összefüggésbe hozható APT-csoportra.
  • A Copycat elfogadott tömeges exploit: A második támadási hullám kihasználta a javítatlan tűzfalakat egy újonnan népszerű CVE-2023-27881 és további IP-címek felhasználásával, amelyekről a SektorCERT jelentése nem számolt be. A bizonyítékok arra utalnak, hogy a második hullám egy különálló tömeges kihasználási kampány része volt.

A kritikus infrastruktúra megzavarására irányuló, államilag támogatott kampány és a tömeges kihasználási kampányok bűnözési hullámának megkülönböztetése, valamint a kettő közötti esetleges átfedések figyelembevétele utólag jobban kezelhető, mint a pillanat hevében – jegyzi meg Elisa Costante, a Forescout Research – Vedere Labs kutatási alelnöke. Ez a jelentés kiemeli a megfigyelt események átfogó fenyegetés- és sebezhetőségi információkkal való kontextualizálásának jelentőségét az OT-hálózatok felügyeletének javítása és az incidensekre való reagálási tervek javítása érdekében.

A második incidenst követően a következő hónapokban további támadások célpontjai voltak a kritikus infrastruktúrán belüli, védtelen eszközök világszerte. A Forescout kutatói számos olyan IP-címet észleltek, amelyek a Zyxel CVE-2023-28771-es sebezhetőségét próbálták kihasználni, és még 2023 októberében is fennálltak különböző eszközökön, köztük további Zyxel tűzfalakon. Jelenleg hat különböző európai országbeli áramszolgáltató vállalat használ Zyxel tűzfalakat, amelyek továbbra is ki vannak téve a rosszindulatú szereplők általi potenciális kihasználásnak.

Ez a friss bizonyíték kiemeli, hogy az energetikai cégeknek és a kritikus infrastruktúrát felügyelő szervezeteknek nagyobb hangsúlyt kell fektetniük az aktuális fenyegetettségi információk felhasználására, beleértve a rosszindulatú IP-címekre és az ismert, kiaknázott sebezhetőségekre vonatkozó információkat. A kormányok egyre gyakrabban tesznek proaktív intézkedéseket azáltal, hogy finanszírozást biztosítanak az energiaágazaton belüli kritikus infrastruktúrák biztonsági helyzetének megerősítését célzó kezdeményezésekre. Az Egyesült Államok Energiaügyi Minisztériuma nemrégiben jelentett be egy új finanszírozási kezdeményezést, és éppen a múlt héten 70 millió dollárt különített el erre a célra.

A Forescout Research ezt az elemzést az AEE segítségével végezte, amely valós és szimulált csatlakoztatott eszközöket egyaránt magában foglal. Ez a környezet átfogó eszközként szolgál az incidensek behatárolására és a fenyegető szereplők mintáinak granuláris szintű felismerésére. A cél a bonyolult kritikus infrastruktúra-támadásokra adott válaszlépések javítása az e specializációból nyert részletes betekintés és megértés révén.

FORRÁS