FOCUS ON

Il vasto attacco informatico che ha colpito l’infrastruttura energetica danese

22 Novembre 2023

Il SektorCERT (centro di sicurezza informatica per i settori critici) della Danimarca ha descritto un vasto attacco informatico che, a maggio 2023, ha colpito ventidue compagnie che gestiscono parti dell’infrastruttura energetica del Paese. L’offensiva, realizzata nell’arco di pochi giorni e in modo altamente mirato, ha sfruttato una vulnerabilità nota e, probabilmente, due 0-day dei firewall Zyxel, consentendo agli avversari di accedere ad alcuni sistemi di controllo industriale. Ciò ha costretto diverse compagnie ad interrompere la connessione internet e a entrare in modalità island.

La prima ondata di attacchi è stata effettuata l’11 maggio contro sedici organizzazioni, undici delle quali sono state immediatamente compromesse. In questa fase, gli avversari hanno sfruttato la vulnerabilità CVE-2023-28771 (OS Command Injection), corretta il 25 aprile 2023. Nel dettaglio, hanno inviato un singolo pacchetto di dati, appositamente creato, tramite UDP alla porta 500 di un dispositivo Zyxel vulnerabile. Nei casi in cui la compromissione è riuscita, è stato eseguito codice sul firewall per ottenere la configurazione e i nomi utente correnti. Negli altri cinque, si ipotizza che i comandi non siano stati eseguiti a causa di una formattazione non corretta dei pacchetti di attacco.

Una seconda ondata, risalente ai giorni compresi fra il 22 e il 25 maggio, ha probabilmente sfruttato le vulnerabilità 0-day CVE-2023-33009 e CVE-2023-33010. Entrambe sono falle di tipo Buffer Overflow che determinano condizioni di Denial of Service (DoS) e, eventualmente, la possibilità di eseguire codice da remoto. Le relative patch sono state rilasciate solo il 24 maggio 2023. In questa fase, gli avversari hanno colpito diversi target con tool inediti.

Nel corso della campagna, alcuni dei firewall vulnerabili sono stati infettati e utilizzati in una botnet Moobot (variante di Mirai) per effettuare attacchi DDoS contro entità negli Stati Uniti e a Hong Kong o impiegati in altre offensive, come brute force via SSH contro un’azienda in Canada.

Gli analisti ipotizzano che l’offensiva nel suo complesso sia stata condotta da più avversari. Sebbene siano stati tracciati singoli indicatori correlati a Sandworm, non è stato possibile determinare l’effettivo coinvolgimento del gruppo state-sponsored russo.

Questa è la seconda volta nell’arco di un anno che il nome dell’APT legato ai servizi di intelligence militare russi viene citato in relazione ad un attacco contro infrastrutture energetiche del Nord Europa. A fine novembre 2022, infatti, Energetic Bear e Sandworm sono stati associati ad un tentativo di compromissione contro la società olandese Gasunie, che si occupa di trasporti e infrastrutture del gas naturale nei Paesi Bassi e in Germania. Allora, gli avversari hanno effettuato attività di ricognizione contro i terminali GNL (gas naturale liquefatto) della compagnia, mirando certamente a quelli di Rotterdam. Anche in quel caso, l’obiettivo era trovare vie d’accesso alle reti target.