非营利性关键部门网络安全中心 SektorCERT 透露，黑客对丹麦关键基础设施发起协同攻击，破坏了 22 个能源组织。

作为 2023 年 5 月发生的攻击的一部分，黑客在几天内就攻陷了受害组织，使其成为迄今为止针对丹麦关键基础设施的最大攻击。

“丹麦不断受到攻击。但我们看到如此多针对关键基础设施的并发、成功的攻击是不寻常的。攻击者事先知道他们的目标是谁，并且每次都正确无误。”SektorCERT 在一份报告 中指出。

作为攻击的一部分，黑客利用Zyxel（合勤）防火墙中的多个漏洞进行初始访问、执行代码并获得对受影响系统的完全控制。

5 月 11 日，攻击者利用 CVE-2023-28771（CVSS 评分为 9.8）对 16 家丹麦能源组织进行攻击，CVE-2023-28771 是Zyxel（合勤）科技 ATP、USG FLEX、VPN 和 ZyWALL/USG 防火墙中的关键操作系统命令执行。

攻击者成功入侵了 11 个组织，在易受攻击的防火墙上执行命令以获取设备配置和用户名。SektorCERT 表示，到当天结束时，所有网络都已安全。

5 月 22 日观察到的第二波攻击涉及新工具和利用 Zyxel 设备中的两个0day漏洞。

这些漏洞编号为CVE-2023-33009 和 CVE-2023-33010，已于 5 月 24 日得到修复。同一天，攻击者开始利用不同的有效负载和漏洞攻击多家丹麦能源公司，并于 5 月 25 日继续攻击。

SektorCERT 表示，它与受害者组织合作，在识别攻击后立即应用可用补丁并保护受感染的网络。

该网络安全组织还指出，至少在其中一次攻击中，它观察到与Sandworm相关的活动，Sandworm 是俄罗斯国家资助的高级持续威胁 (APT) 攻击者，与该国 GRU 军事间谍机构有联系。

“在 SektorCERT 的三年运营中，我们从未看到这些 APT 组织攻击丹麦关键基础设施的迹象。他们的活动往往是为了他们所工作的国家出于各种政治或军事考虑而想要破坏的目标。”SektorCERT 指出。

在整个攻击活动中，一些易受攻击的防火墙感染了 Mirai 机器人，随后被用于针对美国和香港实体的分布式拒绝服务 (DDoS) 攻击。

“在 5 月 30 日左右，一些漏洞的利用代码被公开后，针对丹麦关键基础设施的攻击尝试激增，尤其是来自波兰和乌克兰的 IP 地址。”

SektorCERT 在其报告中提供了有关攻击时间线的全面详细信息，以及为关键基础设施组织提高网络安全性的一系列建议。

---

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nRBuhHKVt_U0Yo6CKRjKYw

封面来源于网络，如有侵权请联系删除