Yeni Bulgular Danimarka'nın Enerji Sektörü Siber Saldırılarında İlişkilendirmeye Meydan Okuyor

Mayıs 2023'te yaklaşık 22 Danimarkalı enerji kuruluşunu hedef alan izinsiz girişler, biri Zyxel güvenlik duvarındaki bir güvenlik açığından (CVE-2023-28771) yararlanan ve saldırganların henüz bilinmeyen bir ilk erişim vektörü aracılığıyla virüslü ana bilgisayarlara Mirai botnet varyantlarını dağıttığını gören bir takip etkinliği kümesi olmak üzere iki farklı dalga halinde meydana geldi.

İlk dalga 11 Mayıs'ta, ikinci dalga ise 22-31 Mayıs 2023 tarihleri arasında gerçekleşti. 24 Mayıs'ta tespit edilen bu tür bir saldırıda, güvenliği ihlal edilen sistemin IP adresleriyle iletişim kurduğu gözlemlendi (217.57.80[.] 18 ve 70.62.153[.] 174) daha önce şimdi sökülmüş olan Cyclops Blink botnet'i için komuta ve kontrol (C2) olarak kullanılıyordu.

Bununla birlikte, Forescout'un saldırı kampanyasını daha yakından incelemesi, yalnızca iki dalganın ilgisiz olduğunu değil, aynı zamanda ikinci dalganın yamalanmamış Zyxel güvenlik duvarlarına karşı daha geniş bir kitlesel sömürü kampanyasının parçası olması nedeniyle devlet destekli grubun çalışmasının olası olmadığını da ortaya çıkardı. Şu anda ikiz saldırı setlerinin arkasında kimin olduğu bilinmiyor.

Şirket, "Savaşın Sisini Temizlemek" başlıklı bir raporda, "Danimarka'ya yönelik saldırıların 'ikinci dalgası' olarak tanımlanan kampanya, 10 günlük süreden önce başladı ve devam etti, güvenlik duvarlarını ayrım gözetmeksizin çok benzer bir şekilde hedef aldı, yalnızca hazırlık sunucularını periyodik olarak değiştirdi" dedi.

Saldırıların CVE-2023-28771'in yanı sıra bilinen diğer kusurlu Zyxel cihazları (CVE-2020-9054 ve CVE-2022-30525) kullanılarak 16 Şubat gibi erken bir tarihte başlamış olabileceğini ve Ekim 2023'e kadar devam ettiğini gösteren kanıtlar var.

Forescout, "Bu, CVE-2023-27881'in Danimarka'nın kritik altyapısıyla sınırlı kalmak yerine istismarının devam ettiğinin ve bazıları kritik altyapı kuruluşlarını koruyan Zyxel güvenlik duvarları olan açıkta kalan cihazları hedef aldığının bir başka kanıtıdır" diye ekledi.

Yorum için ulaşıldığında SektorCERT, Kasım 2023 raporuna işaret etti ve burada "Sandworm'un saldırıya karışıp karışmadığı kesin olarak söylenemez. Bunun bireysel göstergeleri gözlemlendi, ancak bunu ne onaylama ne de reddetme fırsatımız yok."

Kâr amacı gütmeyen kuruluş ayrıca, siber saldırıların belirli bir tehdit aktörüne atfedilmesinin zor olduğunu ve Rusya'yı saldırıya karışmakla suçlamak için somut bir kanıta sahip olmadığını yineledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği