A culpa não é só do Sandworm

Investigação da Forescout revela novos indícios relacionados com ciberataques ao sector da energia na Dinamarca.

SAN JOSE, Califórnia, 11 de janeiro de 2024 - A Forescout, apresentou hoje "Clearing the Fog of War", um relatório que apresenta novas informações sobre dois ataques previamente identificados que afetaram o setor energético dinamarquês em maio de 2023.

A Forescout Research - Vedere Labs efectuou uma análise independente destes ataques e descobriu uma campanha maior que não podia ser totalmente atribuída ao grupo de Ameaças Persistentes Avançadas (APT), denominado Sandworm, juntamente com outras descobertas que o CERT dinamarquês, SektorCERT, não publicou no seu relatório de novembro de 2023.

Nas suas observações do Adversary Engagement Environment (AEE), a Vedere Labs identificou duas conclusões importantes:

• O Sandworm não é o ator de ameaças comum: os analistas da Forescout detalharam uma técnica de ataque às infraestruturas críticas utilizada nesta segunda vaga de ataques diferente da utilizada na primeira. Isto sugere que o Sandworm não pode ser considerado como o grupo APT associado a ambas as vagas de ataques.
• O Copycat adoptou um exploit massivo: a segunda vaga de ataques tirou partido de firewalls sem patches, utilizando um novo CVE-2023-27881 "popular" e endereços IP adicionais que não foram registados no relatório do SektorCERT. As provas sugerem que a segunda vaga fazia parte de uma campanha de exploração em massa distinta.

"Distinguir entre uma campanha patrocinada pelo Estado com o objetivo de afetar infraestruturas críticas e uma onda de crime de campanhas de exploração em massa, enquanto se consideram as possíveis sobreposições entre as duas, é mais fácil de gerir em retrospetiva do que no calor do momento", observa Elisa Costante, VP of Research da Forescout Research - Vedere Labs. "Este relatório sublinha a importância de contextualizar os eventos observados com informações abrangentes sobre ameaças e vulnerabilidades para melhorar a monitorização da rede OT e aperfeiçoar os planos de resposta a incidentes."

Após o segundo incidente, nos meses seguintes, foram identificados, em todo mundo, novos ataques que tiveram como alvo dispositivos que estavam expostos em infraestruturas críticas. Os analistas da Forescout detectaram inúmeros endereços IP que tentavam explorar a vulnerabilidade CVE-2023-28771 da Zyxel, que persistiu até outubro de 2023, em vários dispositivos, incluindo firewalls Zyxel adicionais. Atualmente, seis empresas de eletricidade de países europeus utilizam firewalls da Zyxel e podem continuar suscetíveis à potencial exploração por agentes maliciosos.

Estas novas provas sublinham a necessidade das empresas de energia e das organizações que supervisionam as infraestruturas críticas darem maior ênfase à utilização de threat intelligence, incluindo informações sobre IPs maliciosos e vulnerabilidades exploradas já conhecidas. Os governos estão cada vez mais a tomar medidas proactivas, atribuindo fundos a iniciativas destinadas a reforçar a postura de segurança das infraestruturas críticas no sector da energia. Nomeadamente, o Departamento de Energia dos EUA anunciou recentemente uma nova iniciativa de financiamento, atribuindo 70 milhões de dólares para este fim ainda na semana passada.

A Forescout Research efectuou esta análise utilizando o seu AEE, que engloba dispositivos ligados tanto reais como simulados. Este ambiente constitui uma ferramenta abrangente para identificar incidentes e detetar padrões de atores de ameaças a um nível granular. O objetivo é melhorar as respostas a ataques complexos a infraestruturas críticas através de insights detalhados e da compreensão obtida com esse ambiente de teste especializado.

Para mais informações, descarregue o relatório completo, "Clearing the Fog of War".

Post original aqui.