Zuordnung von Cyberangriffen auf den dänischen Energiesektor bleibt rätselhaft
Neue Erkenntnisse revidieren mitunter sicher geglaubte Fakten. So etwa im Falle der Cyberangriffe auf den Energiesektor in Dänemark im letzten Jahr. Erste Spuren schienen eindeutig auf die Beteiligung der mit Russland verbundenen Hacker-Gruppe "Sandworm" hinzuweisen. Neue Forschungsergebnisse von Forescout und anderen Organisationen legen jedoch nahe, dass die Angriffe möglicherweise nicht aus Russland gesteuert wurden.
Im Mai 2023 gab es Angriffe auf etwa 22 dänische Energieunternehmen, die sich in zwei klaren Phasen ereigneten. In der ersten Phase wurde eine Sicherheitslücke in der Zyxel-Firewall (CVE-2023-28771) ausgenutzt. In der anschließenden Aktivitätsphase setzten die Angreifer Mirai-Botnetz-Varianten auf infizierten Hosts ein, wobei der genaue Zugangsvektor bislang unbekannt ist.
Die ersten Angriffe fanden am 11. Mai statt, während die zweite Angriffswelle vom 22. bis 31. Mai 2023 dauerte. In einem am 24. Mai erkannten Angriff wurde festgestellt, dass das kompromittierte System mit IP-Adressen (217.57.80[.]18 und 70.62.153[.]174) kommunizierte, die zuvor als Befehls- und Kontrollserver (C2) für das mittlerweile abgeschaltete Cyclops Blink Botnetz verwendet wurden.
Eine genauere Untersuchung der Angriffskampagne durch Forescout hat jedoch ergeben, dass die beiden Angriffswellen nicht miteinander zusammenhängen und wahrscheinlich auch nicht auf die Arbeit der staatlich unterstützten Gruppe zurückzuführen sind. Das ist daraus zu schließen, dass die zweite Welle Teil einer breiteren Kampagne gegen nicht gepatchte Zyxel-Firewalls war. Derzeit ist nicht bekannt, wer hinter den beiden Angriffsserien steckt.
In der „zweiten Angriffswelle“ auf Dänemark wurden Firewalls auf eine ähnliche Art und Weise wahllos angegriffen. Lediglich die Server, auf denen die Angriffe stattfanden, wurden regelmäßig gewechselt. Dies geht aus einem Bericht des Unternehmens mit dem passenden Titel „Clearing the Fog of War“ (auf Deutsch etwa: „Den Nebel des Krieges lichten“) hervor.
Es gibt Hinweise darauf, dass die Angriffe bereits am 16. Februar begonnen haben könnten und bis Oktober 2023 andauerten. Dabei wurden neben CVE-2023-28771 auch andere bekannte Schwachstellen in Zyxel-Geräten (CVE-2020-9054 und CVE-2022-30525) ausgenutzt und verschiedene Einrichtungen in ganz Europa und den USA attackiert.
„Dies ist ein weiterer Beweis dafür, dass die Ausnutzung von CVE-2023-27881 nicht auf kritische Infrastrukturen in Dänemark beschränkt ist, sondern in anderen westlichen Regionen fortgesetzt wird und auf ungeschützte Geräte abzielt, von denen einige zufällig Zyxel-Firewalls sind, die kritische Infrastrukturen schützen“, so Forescout weiter.
Das SektorCERT (Computer Emergency Response Team) verwies auf seinen Bericht vom November 2023, in dem es heißt: „Ob Sandworm an dem Angriff beteiligt war, lässt sich nicht mit Sicherheit sagen. Einzelne Indikatoren dafür wurden beobachtet, aber wir haben keine Möglichkeit, dies weder zu bestätigen noch zu dementieren.“ Die gemeinnützige Organisation betonte außerdem, dass Cyberangriffe schwer einem bestimmten Akteur zuzuordnen sind und dass keine konkreten Beweise dafür vorliegen, dass Russland in den Angriff involviert war.