Das dänische SektorCERT berichtet in einem aktuellen Report von der größten Angriffswelle auf die Kritische Infrastruktur Dänemarks, die bislang registriert wurde. Demnach wurden ab Mai 2023 insgesamt 22 Betriebe aus dem Energiesektor des Landes erfolgreich angegriffen.
Ausgenutzt wurden im aktuellen Fall mindestens drei kritische Schwachstellen in Zyxel-Firewalls. Hierbei handelt es sich um CVE-2023-28771, CVE-2023-33009 sowie CVE-2023-33010, die allesamt mit dem Score 9.8 von 10 bewertet werden.
Das SektorCERT hat bei der Analyse der Angriffe mehrere maliziöse Verbindungen zu Servern festgestellt, die der russischen Angreifergruppierung Sandworm zugeordnet werden. Sandworm wird wiederum mit dem russischen Militärgeheimdienst GRU in Verbindung gebracht. Anfang November veröffentlichte diesbezüglich auch der Sicherheitsdienstleister Mandiant einen Report, wonach Sandworm Ende 2022 für einen Stromausfall in der Ukraine nach technisch komplexen Cyberangriffen auf Kritische Infrastruktur verantwortlich war. Die vorgestellten Angriffe verdeutlichen sowohl die Kapazitäten russischer APT-Gruppierungen für offensive Cyberoperationen als auch deren Willen, diese für Sabotagehandlungen im Bereich der Kritischen Infrastruktur einzusetzen.
Wenngleich Cybersabotage hauptsächlich in Zusammenhang mit dem russischen Angriffskrieg in der Ukraine festgestellt wurde, zeigt
der gezielte Angriff auf dänische Einrichtungen, dass russische Angreifer ihre Aktivitäten auch auf Ziele außerhalb der
Ukraine ausweiten. In seinem Bericht
veröffentlichte das SektorCERT umfangreiche technische Hinweise sowie IoCs zu den diesjährigen Vorfällen.