Sektörden Haberler

Danimarka'nın Kritik Altyapısına Yönelik En Büyük Koordineli Saldırıda 22 Enerji Firması Hacklendi

21 Kasım 2023

Kritik sektörlere yönelik kâr amacı gütmeyen siber güvenlik merkezi SektorCERT, bilgisayar korsanlarının Danimarka'nın kritik altyapısına yönelik koordineli bir saldırıda 22 enerji kuruluşunun güvenliğini tehlikeye attığını açıkladı.

Mayıs 2023'te meydana gelen saldırı kapsamında bilgisayar korsanları birkaç gün içinde mağdur kuruluşları ele geçirerek Danimarka'nın kritik altyapısına yönelik bugüne kadarki en büyük saldırıyı gerçekleştirdi.

SektorCERT in bir raporunda "Danimarka sürekli saldırı altında. Ancak kritik altyapıya yönelik bu kadar çok eş zamanlı ve başarılı saldırı görmemiz alışılmadık bir durum. Saldırganlar kimi hedef alacaklarını önceden biliyorlardı ve her seferinde doğru hedefe ulaştılar." şeklinde bahsetti.

Saldırıların bir parçası olarak, bilgisayar korsanları ilk erişim için Zyxel güvenlik duvarlarındaki birden fazla güvenlik açığından yararlanıp saldırdı ve etkilenen sistemler üzerinde tam kontrol elde etti.

11 Mayıs'ta tehdit aktörleri, Zyxel'in ATP, USG FLEX, VPN ve ZyWALL/USG güvenlik duvarlarında Nisan ayı sonlarında ortaya çıkan kritik bir işletim sistemi komut yürütmesi olan CVE-2023-28771'den (CVSS puanı 9.8) yararlanan saldırılarda 16 Danimarkalı enerji kuruluşunu hedef aldı.

Saldırganlar, cihaz yapılandırmalarını ve kullanıcı adlarını ele geçirmek için güvenlik açığı bulunan güvenlik duvarlarında komutlar yürüterek 11 kuruluşun güvenliğini başarıyla ele geçirdi. SektorCERT, gün sonuna kadar tüm ağların güvenliğinin sağlandığını söyledi.

22 Mayıs'ta gözlemlenen ikinci saldırı dalgası, yeni araçları ve Zyxel cihazlarındaki iki adet zero-day güvenlik açığından yararlanmayı içeriyor.

CVE-2023-33009 ve CVE-2023-33010 olarak izlenen hatalar 24 Mayıs'ta yamalanmıştır. Aynı gün, saldırganlar farklı yükler ve istismarlarla birden fazla Danimarkalı enerji firmasını hedef almaya başlayıp ve saldırılarına 25 Mayıs'ta da devam etti.

SektorCERT, saldırıları tespit ettikten hemen sonra mevcut yamaları uygulamak ve tehlikeye atılan ağları güvence altına almak için mağdur kuruluşlarla birlikte çalıştığını söyledi.

Siber güvenlik kuruluşu ayrıca, saldırılardan en az birinde, ülkenin GRU askeri casusluk ajansıyla bağlantılı, Rus devlet destekli bir gelişmiş kalıcı tehdit (APT) aktörü olan Sandworm ile ilişkili faaliyet gözlemlediğini belirtti.

SektorCERT, "SektorCERT'in üç yıllık operasyonunda, bu APT gruplarının Danimarka'nın kritik altyapısına saldırdığına dair hiçbir işaret görmedik. Faaliyetleri, çalıştıkları devletlerin çeşitli siyasi veya askeri mülahazalar nedeniyle bozmak istedikleri hedeflere ayrılma eğilimindedir" diye belirtti.

Kampanya boyunca, savunmasız güvenlik duvarlarından bazılarına Mirai botu bulaştırılmış ve daha sonra ABD ve Hong Kong'daki kuruluşlara yönelik dağıtılmış hizmet reddi (DDoS) saldırılarında kullanıldı.

Güvenlik açıklarından bazılarının istismar kodunun 30 Mayıs civarında kamuoyuna açıklanmasının ardından, Danimarka'nın kritik altyapısına yönelik saldırı girişimlerinde, özellikle Polonya ve Ukrayna'daki IP adreslerinden patlama yaşandı.

SektorCERT raporunda, saldırıların zaman çizelgesine ilişkin kapsamlı ayrıntıların yanı sıra kritik altyapı kuruluşlarına ağlarının güvenliğini artırmaları için bir dizi tavsiye içeriyor.

Kaynak:  https://www.securityweek.com/22-energy-firms-hacked-in-largest-coordinated-attack-on-denmarks-critical-infrastructure/