Die cyber-Attacken im letzten Jahr auf den Energiesektor in Dänemark sollen laut neuen Erkenntnissen von Forescout nicht von der russisch verbundenen Hackergruppe Sandworm durchgeführt worden sein. Die Angriffe richteten sich gegen etwa 22 dänische Energieorganisationen im Mai 2023 und fanden in zwei Phasen statt. Die erste Welle nutzte eine Sicherheitslücke in der Zyxel-Firewall (${match}) aus, während die zweite Welle verschiedene Mirai-Botnetz-Varianten auf infizierte Hosts setzte. Dabei wurden IP-Adressen verwendet, die zuvor als Befehls- und Kontrollserver für das mittlerweile aufgelöste Cyclops Blink-Botnetz dienten.
Eine genaue Untersuchung der Angriffskampagne ergab jedoch, dass die beiden Angriffswellen nicht miteinander zusammenhängen und auch nicht wahrscheinlich von der staatlich unterstützten Gruppe stammen, da die zweite Welle Teil einer breiter angelegten Massenausbeutungskampagne gegen ungepatchte Zyxel-Firewalls war. Es ist derzeit unbekannt, wer hinter den beiden Angriffsreihen steckt.
Es gibt Hinweise darauf, dass die Angriffe möglicherweise schon am 16. Februar begannen und bis Oktober 2023 andauerten. Dabei wurden verschiedene Organisationen in Europa und den USA ins Visier genommen. Laut Forescout ist dies ein weiterer Beweis dafür, dass die Ausnutzung der Sicherheitslücke ${match} andauert und nicht nur auf die dänische kritische Infrastruktur beschränkt ist, sondern auch andere Zyxel-Firewalls betrifft, die die Sicherheit von kritischen Infrastrukturorganisationen gewährleisten.
Quelle: The Hacker News