Весной этого года критическая инфраструктура Дании подверглась крупнейшей кибератаке в истории страны: всего за несколько дней были взломаны 22 энергетических компании, согласно новому отчету одного из ведущих кибер-агентств страны. Источник: The Record
Читайте также: СМИ рассказали о шпионе ГРУ в российском посольстве в Дании
По данным SektorCERT, финансируемой государством датской организации, занимающейся киберинцидентами в критически важном секторе, атаки остались незамеченными для рядовых датских граждан, но существенно нарушили работу целевых объектов.
Чтобы обеспечить бесперебойное электроснабжение, несколько целевых энергокомпаний были вынуждены перейти в так называемый островной режим, при котором им пришлось отключиться от основной электросети и работать самостоятельно и автономно. Специалисты SektorCERT помогли целевым компаниям противостоять атакам.
Кто стоит за этой кампанией, неизвестен, но исследователи предполагают, что атаки были осуществлены несколькими группами, в том числе, российскими хакерами Sandworm, которые ранее пытались спровоцировать несколько отключений электроэнергии в Украине.
Атаки на критически важную инфраструктуру Дании происходили в несколько волн в течение мая, при этом хакеры использовали различные инструменты и методы. Их объединяет злоупотребление продукцией тайваньского производителя Zyxel, который в основном продает сетевое оборудование.
По словам исследователей, межсетевые экраны Zyxel широко используются в Дании для защиты критически важных систем, предоставляя хакерам возможность использовать уязвимости в этих межсетевых экранах и получать доступ к инфраструктуре жертв.
Атаки на Данию продолжаются, «но необычно, что мы видим так много одновременных успешных атак на критически важную инфраструктуру», — заявили в SektorCERT.
Во время первой волны атак в начале мая хакеры атаковали 16 датских энергетических компаний, успешно скомпрометировав 11 из них через уязвимость брандмауэра Zyxel.
Хотя Zyxel выпустила исправления для этой уязвимости в апреле, многие устройства, установленные на критически важных объектах Дании, остались неисправленными.
В результате первой атаки хакерам удалось закрепиться и получить контроль над межсетевыми экранами энергетических компаний, но они были обнаружены и остановлены прежде, чем смогли воспользоваться доступом к критической инфраструктуре, говорят исследователи.
Вторая волна началась в конце мая и, вероятно, была осуществлена другой хакерской группой. По словам исследователей, пока неясно, работали ли эти группы вместе или в рамках одной организации. В этой атаке хакеры использовали целевую инфраструктуру в рамках ботнета Mirai.
По данным SektorCERT, последняя волна атак, вероятно, исходила от поддерживаемой государством российской хакерской группы Sandworm, но имела ограниченный эффект. Пораженные организации потеряли видимость в трех удаленных точках, и им пришлось вручную управлять своими операциями.
Читайте также: DR: осужденного в Дании за шпионаж Никифорова завербовал первый секретарь посольства РФ
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet