SektorCERT, ett danskt cybersäkerhetscenter, släppte i förra veckan en rapport om en cyberattack som drabbade 22 danska företag inom energisektorn i maj i år. Attacken misstänks ha utförts av APT(Advanced Persistant Threat)-gruppen Sandworm, som har kopplingar till den ryska militära underrättelsetjänsten GRU.
Attacken utfördes genom att utnyttja en svaghet i de Zyxel-brandväggar som företagen hade. Information om vilka företag som hade dessa brandväggar fanns inte på nätet, så informationen måste ha kommit från någon som redan var på insidan. En patch som åtgärdade felet hade funnits ute ett par veckor men av en rad olika orsaker hade företagen inte följt SektorCERTs råd att installera patchen. Vissa trodde att deras brandvägg var så ny att den redan hade den senaste mjukvaran, andra trodde att det var leverantören som var ansvarig att uppdatera brandväggarna. Någon hade medvetet skippat patchen eftersom det kostar tid och pengar att någon ska uppdatera hårdvaran och någon visste inte ens om att de hade en Zyxel-brandvägg i sitt nätverk.
Hotaktören lyckades ta över kontrollen av brandväggarna och använde senare också en del av dem till att göra överbelastningsattacker mot servrar i andra länder. SektorCERT fick jobba för högtryck och det tog runt två veckor innan situationen var under full kontroll.
Analysen i rapporten avslutas med orden "Och det enda som räddade infrastrukturen i det här fallet var att SektorCERT, i samarbete med medlemmar och leverantörer, förmådde reagera snabbt så att angriparna kunde stoppas innan deras åtkomst kunde användas för att skada den kritiska infrastrukturen."
Add new comment