Lo scorso maggio sono state colpite 22 aziende che supervisionano vari componenti dell’infrastruttura energetica danese. La falla? Lo sfruttamento della vulnerabilità zero-day nei firewall Zyxel, che molti operatori di infrastrutture critiche utilizzano per proteggere le proprie reti.
Criminali informatici hanno effettuato una serie di attacchi informatici altamente coordinati contro 22 aziende che supervisionano vari componenti dell’infrastruttura energetica danese nel più grande incidente informatico mai registrato nel Paese.
Lo ha reso noto il report di SektorCERT, un centro di sicurezza informatica senza scopo di lucro per settori critici in Danimarca. Il rapporto pubblicato domenica afferma che i criminal hacker hanno sfruttato una vulnerabilità zero-day nei firewall Zyxel, che molti operatori delle infrastrutture critiche danesi utilizzano per proteggere le proprie reti.
La maggior parte degli attacchi è stata possibile perché le aziende non avevano aggiornato i loro firewall, ha dichiarato SektorCERT. Inoltre, si legge nel report, diverse aziende hanno rinunciato all’aggiornamento del software perché l’installazione prevedeva un costo.
Alcune aziende hanno erroneamente supposto che i relativamente nuovi firewall Zyxel avessero già le ultime versioni degli aggiornamenti, e altre hanno erroneamente creduto che il fornitore fosse responsabile dell’implementazione degli aggiornamenti.
Vulnerabilità zero-day nei firewall Zyxel
Le vulnerabilità dei firewall, segnalate inizialmente ad aprile e rintracciate come CVE-2023-28771, consentono agli attaccanti di ottenere accesso remoto ai sistemi di controllo industriale senza autenticazione.
SektorCERT ha descritto l’attacco informatico come “notevole” per la sua pianificazione. Undici aziende sono state “immediatamente” compromesse, secondo il rapporto, consentendo agli attaccanti di prendere il controllo del firewall e accedere all’infrastruttura critica ad esso collegata. SektorCERT ha detto che l’attacco simultaneo ha impedito alle aziende energetiche di avvertire le altre in anticipo “poiché tutti sono stati attaccati contemporaneamente”.
Gli attacchi sono iniziati l’11 maggio, seguiti da 10 giorni di inattività. Una seconda ondata di attacchi è iniziata il 22 maggio, quando SektorCERT ha ricevuto un avviso che uno dei suoi membri aveva scaricato un nuovo software per il firewall tramite una connessione non sicura.
I russi Sandworm dietro l’attacco?
Non è ancora chiaro quali attori di uno Stato-nazione o specifiche organizzazioni di cybercriminali siano dietro gli attacchi, né se siano coinvolti più gruppi negli incidenti informatici mirati alle infrastrutture critiche danesi.
L’analisi di SektorCERT ha indicato che il traffico nelle reti compromesse proveniva da server associati a un’unità di hacker militari russi popolarmente conosciuta come Sandworm.
Scarica il report