Yeni Bulgular Danimarka'nın Enerji Sektörü Siber Saldırılarında İlişkilendirmeye Meydan Okuyor
Forescout'un yeni bulgularına göre, geçen yıl Danimarka'da enerji sektörünü hedef alan siber saldırılar, Rusya bağlantılı Sandworm hack grubunun katılımı olmamış olabilir.
Mayıs 2023'te yaklaşık 22 Danimarkalı enerji kuruluşunu hedef alan izinsiz girişler, biri Zyxel güvenlik duvarındaki bir güvenlik açığından (CVE-2023-28771) yararlanan ve saldırganların henüz bilinmeyen bir ilk erişim vektörü aracılığıyla virüslü ana bilgisayarlara Mirai botnet varyantlarını dağıttığını gören bir takip etkinliği kümesi olmak üzere iki farklı dalga halinde meydana geldi.
İlk dalga 11 Mayıs'ta, ikinci dalga ise 22-31 Mayıs 2023 tarihleri arasında gerçekleşti. 24 Mayıs'ta tespit edilen bu tür bir saldırıda, güvenliği ihlal edilen sistemin IP adresleriyle iletişim kurduğu gözlemlendi (217.57.80[.] 18 ve 70.62.153[.] 174) daha önce şimdi sökülmüş olan Cyclops Blink botnet'i için komuta ve kontrol (C2) olarak kullanılıyordu.
Bununla birlikte, Forescout'un saldırı kampanyasını daha yakından incelemesi, yalnızca iki dalganın ilgisiz olduğunu değil, aynı zamanda ikinci dalganın yamalanmamış Zyxel güvenlik duvarlarına karşı daha geniş bir kitlesel sömürü kampanyasının parçası olması nedeniyle devlet destekli grubun çalışmasının olası olmadığını da ortaya çıkardı. Şu anda ikiz saldırı setlerinin arkasında kimin olduğu bilinmiyor.
Şirket, "Savaşın Sisini Temizlemek" başlıklı bir raporda, "Danimarka'ya yönelik saldırıların 'ikinci dalgası' olarak tanımlanan kampanya, 10 günlük süreden önce başladı ve devam etti, güvenlik duvarlarını ayrım gözetmeksizin çok benzer bir şekilde hedef aldı, yalnızca hazırlık sunucularını periyodik olarak değiştirdi" dedi.
Saldırıların CVE-2023-28771'in yanı sıra bilinen diğer kusurlu Zyxel cihazları (CVE-2020-9054 ve CVE-2022-30525) kullanılarak 16 Şubat gibi erken bir tarihte başlamış olabileceğini ve Ekim 2023'e kadar devam ettiğini gösteren kanıtlar var.
Forescout, "Bu, CVE-2023-27881'in Danimarka'nın kritik altyapısıyla sınırlı kalmak yerine istismarının devam ettiğinin ve bazıları kritik altyapı kuruluşlarını koruyan Zyxel güvenlik duvarları olan açıkta kalan cihazları hedef aldığının bir başka kanıtıdır" diye ekledi.
Yorum için ulaşıldığında SektorCERT, Kasım 2023 raporuna işaret etti ve burada "Sandworm'un saldırıya karışıp karışmadığı kesin olarak söylenemez. Bunun bireysel göstergeleri gözlemlendi, ancak bunu ne onaylama ne de reddetme fırsatımız yok."
Kâr amacı gütmeyen kuruluş ayrıca, siber saldırıların belirli bir tehdit aktörüne atfedilmesinin zor olduğunu ve Rusya'yı saldırıya karışmakla suçlamak için somut bir kanıta sahip olmadığını yineledi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı