In un’azione senza precedenti, l’APT Sandworm è collegato al “più grande attacco informatico contro l’infrastruttura critica della danimarca”. Nel maggio 2023, 22 aziende operanti nel settore energetico della Danimarca sono state prese di mira in un’operazione coordinata e sofisticata.
Attacco coordinato: colpo preciso
Secondo SektorCERT, l’agenzia danese per la sicurezza informatica, gli attacchi simultanei contro 22 infrastrutture critiche non sono comuni. Gli aggressori sapevano in anticipo chi colpire, e ogni attacco ha raggiunto il bersaglio senza errori. Questa precisione suggerisce una pianificazione dettagliata e risorse significative.
Collegamento con la Russia
L’agenzia della Danimarca ha trovato prove che collegano uno o più attacchi all’agenzia di intelligence militare russa GRU, nota anche come Sandworm. Questa valutazione si basa su artefatti che comunicavano con indirizzi IP tracciati fino al gruppo di hacker.
Uso di vulnerabilità critiche
Gli attacchi, avvenuti l’11 maggio, hanno sfruttato una grave vulnerabilità di iniezione di comandi (CVE-2023-28771) che colpisce i firewall Zyxel. Questa falla era stata divulgata alla fine di aprile 2023. Sugli 11 siti che sono stati infiltrati con successo, gli attaccanti hanno eseguito codice malevolo per condurre operazioni di ricognizione e pianificare le azioni successive.
Modello di attacco efficace e insolito
La simultaneità degli attacchi ha reso impossibile la condivisione di informazioni tra le vittime, rendendo l’attacco insolitamente efficace. Questo tipo di coordinamento richiede una pianificazione e risorse notevoli.
Onde di attacchi e implicazioni globali
Una seconda ondata di attacchi, mirata a ulteriori organizzazioni, è stata registrata dal 22 al 25 maggio, suggerendo la possibilità che due diversi attori di minaccia fossero coinvolti nella campagna. Questi attacchi hanno sfruttato altre due vulnerabilità critiche nei dispositivi Zyxel (CVE-2023-33009 e CVE-2023-33010) per cooptare i firewall nei botnet Mirai e MooBot.
Conclusioni tecniche
Questo massiccio attacco informatico contro l’infrastruttura critica danese sottolinea non solo la crescente sofisticazione degli attori di minaccia statali, ma anche la vulnerabilità delle infrastrutture nazionali a tali attacchi coordinati e ben pianificati.