Abonnieren Sie unseren NEWSLETTER

Forescout Research - Vedere Labs hatte eine unabhängige Analyse dieser Angriffe durchgeführt. Dabei kamen die Sicherheitsforscher einer noch umfangreicheren Angriffskampagne auf die Spur, die sich nicht ausschließlich der Advanced Persistent Threat (APT)-Gruppe Sandworm zuordnen lässt. Darüber hinaus gewann Forescout Research weitere Erkenntnisse, die das dänische IT-Sicherheitszentrum SektorCERT in seinem Bericht vom November 2023 nicht veröffentlicht hatte.

Aus den Untersuchungen in seiner AEE (Adversary Engagement Environment)- Testumgebung konnte Vedere Labs zwei wichtige Schlüsse ziehen:

Sandworm ist nicht der alleinige Angreifer: Wie die Forscher von Forescout detailliert beschrieben, wurde bei der zweiten Angriffswelle auf die kritischen Infrastrukturen eine andere Methode eingesetzt als bei der ersten. Dies legt nahe, dass die APT-Gruppe Sandworm nicht unbedingt mit beiden Angriffswellen in Verbindung gebracht werden kann.

Massenhafte Ausnutzung durch Nachahmer: Bei der zweiten Angriffswelle wurden ungepatchte Firewalls mithilfe einer neuerdings „beliebten“ Schwachstelle (CVE-2023-27881) sowie zusätzlicher IP-Adressen ausgenutzt, die im Bericht des SektorCERT nicht erwähnt werden. Die Hinweise lassen darauf schließen, dass die zweite Welle Teil einer separaten Massenangriffskampagne war.

„Im Nachhinein ist es leichter als im Eifer des Gefechts, zwischen einer staatlich unterstützten Kampagne zur Lahmlegung kritischer Infrastrukturen und Massenangriffen durch Kriminelle zu unterscheiden und dabei auch noch potenzielle Überschneidungen zwischen beiden zu berücksichtigen“, erklärt Elisa Costante, VP of Research, Forescout Research - Vedere Labs. „Dieser Bericht demonstriert, wie wichtig es ist, beobachtete Ereignisse mit umfassenden Informationen zu Bedrohungen und Schwachstellen in Kontext zu setzen, um die Überwachung von OT-Netzwerken zu verbessern und die Incident-Response-Planung zu optimieren.“

Lesen Sie den Blogbeitrag Clearing the Fog of War – A critical analysis of recent energy sector cyberattacks in Denmark and Ukraine

Nach der zweiten Attacke kam es in den Folgemonaten weltweit zu weiteren Angriffen auf anfällige Geräte in kritischen Infrastrukturen. Das Forschungsteam von Forescout entdeckte zahlreiche IP-Adressen, über die versucht wurde, die Zyxel-Schwachstelle CVE-2023-28771 auszunutzen, die noch im Oktober 2023 auf verschiedenen Geräten bestand, darunter auch in weiteren Firewalls von Zyxel. Derzeit nutzen sechs Energieversorgungsunternehmen in europäischen Ländern Zyxel-Firewalls und sind damit möglicherweise weiterhin anfällig für eine Ausnutzung durch Angreifer.

Diese jüngsten Erkenntnisse zeigen einmal mehr, dass Energieversorger und andere Betreiber kritischer Infrastrukturen dringend mehr Gewicht auf die Nutzung aktueller Threat Intelligence legen müssen, wie etwa Informationen über bösartige IPs und bekannte ausgenutzte Schwachstellen. Regierungen ergreifen zunehmend proaktive Maßnahmen, indem sie Mittel für Initiativen bereitstellen, die die Sicherheitslage kritischer Infrastrukturen im Energiesektor verbessern sollen. So hat beispielsweise das US-Energieministerium in der ersten Januarwoche eine neue Finanzierungsinitiative angekündigt, für die 70 Millionen US-Dollar freigegeben wurden.

Forescout Research führte diese Analyse mithilfe seiner AEE durch, die sowohl reale als auch simulierte vernetzte Geräte umfasst. Die Umgebung dient als ganzheitliches Instrument zur genauen Bestimmung von Vorfällen und präzisen Unterscheidung von Angriffsmustern. Ziel ist es, anhand der detaillierten Einblicke und Erkenntnisse, die in dieser speziellen Testumgebung gewonnen werden, die Reaktionen auf komplexe Angriffe gegen kritische Infrastrukturen zu verbessern.