Hackers Russos Ligados ao 'Maior Ataque Cibernético de Todos os Tempos' em Infraestrutura Crítica Dinamarquesa
16 de Novembro de 2023

Há possíveis conexões de atores de ameaças russos ao que foi descrito como o "maior ataque cibernético contra a infraestrutura crítica dinamarquesa", no qual 22 empresas associadas à operação do setor de energia do país foram visadas em maio de 2023.

"Não é comum 22 ataques cibernéticos simultâneos e bem-sucedidos contra a infraestrutura crítica dinamarquesa", disse SektorCERT da Dinamarca [PDF].

"Os atacantes sabiam com antecedência quem iriam atacar e acertaram todas as vezes.

Nenhum tiro errou o alvo."

A agência disse que encontrou evidências vinculando um ou mais ataques à agência russa de inteligência militar GRU, também conhecida como Sandworm, que tem um histórico de orquestrar ataques cibernéticos disruptivos em sistemas de controle industrial.

Essa avaliação é baseada em artefatos que se comunicam com endereços IP que foram rastreados até a equipe de hackers.

Os ataques cibernéticos inéditos e coordenados ocorreram em 11 de maio, explorando a falha crítica de injeção de comando CVE-2023-28771 (pontuação CVSS: 9.8) em firewalls Zyxel, que foi divulgada no final de abril de 2023.

Nas 11 empresas que foram infiltradas com sucesso, os atores de ameaças executaram um código malicioso para realizar o reconhecimento das configurações do firewall e determinar o próximo curso de ação.

"Esse tipo de coordenação requer planejamento e recursos", disse SektorCERT em uma cronologia detalhada dos eventos.

"A vantagem de atacar simultaneamente é que as informações sobre um ataque não podem se espalhar para os outros alvos antes que seja tarde demais."

"Isso tira do jogo o poder do compartilhamento de informações, porque ninguém pode ser alertado com antecedência sobre o ataque em andamento, já que todos são atacados ao mesmo tempo.

Isso é incomum - e extremamente eficaz."

Uma segunda onda de ataques direcionados a mais organizações foi posteriormente registrada de 22 a 25 de maio por um grupo de ataque com armas cibernéticas nunca antes vistas, aumentando a possibilidade de que dois atores de ameaças diferentes estivessem envolvidos na campanha.

Dito isso, atualmente é incerto se os grupos colaboraram entre si, trabalharam para o mesmo empregador ou agiram de forma independente.

Acredita-se que esses ataques tenham armado mais dois bugs críticos no equipamento Zyxel ( CVE-2023-33009 e CVE-2023-33010 , pontuações CVSS: 9.8) como zero-days para cooptar os firewalls nas botnets Mirai e MooBot, uma vez que as correções para eles foram liberadas pela empresa em 24 de maio de 2023.

Os dispositivos comprometidos, em alguns casos, foram usados para realizar ataques de negação de serviço distribuídos (DDoS) contra empresas não nomeadas nos EUA e em Hong Kong.

"Após o código de exploração para algumas das vulnerabilidades se tornar público em torno de 30/5, as tentativas de ataque contra a infraestrutura crítica dinamarquesa explodiram - especialmente a partir de endereços IP na Polônia e na Ucrânia", explicou o SektorCERT.

A onda de ataques levou as entidades afetadas a se desconectarem da internet e entrarem no modo ilha, acrescentou a agência.

Mas não são apenas atores de estados-nação.

O setor de energia também está se tornando cada vez mais um foco para grupos de ransomware, com corretores de acesso inicial (IABs) promovendo ativamente acesso não autorizado a empresas de energia nuclear, de acordo com um relatório da Resecurity divulgado nesta semana.


A observação chega à medida que o Censys descobriu seis hospedeiros pertencentes à NTC Vulkan, um empreiteiro de TI com sede em Moscou que supostamente forneceu ferramentas cibernéticas ofensivas às agências de inteligência russas, incluindo o Sandworm.

Além disso, a pesquisa revelou uma conexão com um grupo chamado Raccoon Security através de um certificado NTC Vulkan.

"A Raccoon Security é uma marca da NTC Vulkan e é possível que as atividades da Raccoon Security incluam participação anterior ou atual nas iniciativas vazadas contratadas pela GRU", disse Matt Lembright, diretor de Aplicações Federais da Censys.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...