Actores de amenazas rusos posiblemente hayan estado vinculados a lo que se ha descrito como el «mayor ciberataque contra la infraestructura crítica danesa», en el que 22 empresas asociadas con la operación del sector energético del país fueron atacadas en mayo de 2023.
«22 ciberataques simultáneos y exitosos contra infraestructura crítica danesa no son algo común», afirmó el SektorCERT de Dinamarca [PDF]. «Los atacantes sabían de antemano a quién iban a apuntar y acertaron en todo momento. Ningún disparo falló en el objetivo».
La agencia dijo que encontró evidencia que conecta uno o más ataques con la agencia de inteligencia militar rusa GRU, que también es rastreada bajo el nombre de Sandworm y tiene un historial de orquestar ataques cibernéticos disruptivos contra sistemas de control industrial. Esta evaluación se basa en artefactos que se comunican con direcciones IP que han sido rastreadas hasta el equipo de piratería.
Los ciberataques coordinados y sin precedentes tuvieron lugar el 11 de mayo mediante la explotación de CVE-2023-28771 (puntuación CVSS: 9,8), una falla crítica de inyección de comandos que afecta a los firewalls de Zyxel y que se reveló a finales de abril de 2023.
En las 11 empresas que fueron infiltradas con éxito, los actores de amenazas ejecutaron código malicioso para realizar un reconocimiento de las configuraciones del firewall y determinar el siguiente curso de acción.
Posteriormente, del 22 al 25 de mayo, un grupo de ataque con armas cibernéticas nunca antes vistas registró una segunda ola de ataques dirigidos a más organizaciones, lo que plantea la posibilidad de que dos actores de amenazas diferentes estuvieran involucrados en la campaña.
Dicho esto, actualmente no está claro si los grupos colaboraron entre sí, trabajaron para el mismo empleador o actuaron de forma independiente.
Se sospecha que estos ataques han convertido en armas dos errores críticos más en el equipo Zyxel (CVE-2023-33009 y CVE-2023-33010, puntuaciones CVSS: 9,8) como días cero para incorporar los firewalls a las botnets Mirai y MooBot, dado que La empresa lanzó los parches para ellos el 24 de mayo de 2023.
Los dispositivos comprometidos, en algunos casos, se utilizaron para realizar ataques distribuidos de denegación de servicio (DDoS) contra empresas anónimas en EE. UU. y Hong Kong.