SAN JOSÉ, California, 11 de enero de 2024 – Forescout ha lanzado “Despejando la niebla de la guerra”, un informe que presenta una nueva evidencia sobre dos ataques previamente documentados que afectaron al sector energético danés en mayo de 2023.
Forescout Research – Vedere Labs realizó un análisis independiente de estos ataques y descubrió una campaña más grande que no podía atribuirse completamente al grupo Sandworm de Amenaza Persistente Avanzada (APT), junto con otros hallazgos que el CERT danés, SektorCERT, no publicó en su informe de noviembre de 2023.
En sus observaciones del Entorno de participación del adversario (AEE), Vedere Labs identificó dos hallazgos importantes:
- Sandworm no es el actor de amenazas común: los investigadores de Forescout detallaron una técnica diferente para atacar la infraestructura crítica en la segunda ola que la utilizada en la primera ola de ataques. Esto sugiere que no se puede señalar a Sandworm como el grupo APT asociado con ambas oleadas de ataques.
- Copycat adoptó un exploit masivo: la segunda ola de ataques se aprovechó de firewalls sin parches que utilizaban un CVE-2023-27881 recientemente “popular” y direcciones IP adicionales que no se informaron en el informe de SektorCERT. La evidencia sugiere que la segunda ola fue parte de una campaña de explotación masiva separada.
“Distinguir entre una campaña patrocinada por el Estado destinada a alterar la infraestructura crítica y una ola de crímenes de campañas de explotación masiva, al mismo tiempo que se tienen en cuenta posibles superposiciones entre ambas, es más manejable en retrospectiva que en el calor del momento”, señala Elisa Costante, Vicepresidente de Investigación en Forescout Research – Vedere Labs. «Este informe subraya la importancia de contextualizar los eventos observados con inteligencia integral sobre amenazas y vulnerabilidades para mejorar el monitoreo de la red OT y mejorar los planes de respuesta a incidentes».
Despejando la niebla de la guerra: un análisis crítico de los recientes ciberataques al sector energético en Dinamarca y Ucrania – Leer blog
Después del segundo incidente, en los meses siguientes se produjeron nuevos ataques dirigidos a dispositivos expuestos dentro de infraestructuras críticas en todo el mundo. Los investigadores de Forescout detectaron numerosas direcciones IP que intentaban explotar la vulnerabilidad CVE-2023-28771 de Zyxel, que persistió hasta octubre de 2023, en varios dispositivos, incluidos firewalls Zyxel adicionales. Actualmente, seis compañías eléctricas distintas en países europeos utilizan firewalls Zyxel y pueden seguir siendo susceptibles a una posible explotación por parte de actores maliciosos.
Esta evidencia reciente subraya el imperativo de que las empresas y organizaciones energéticas que supervisan la infraestructura crítica pongan un mayor énfasis en la utilización de la inteligencia de amenazas actual, incluida información sobre IP maliciosas y vulnerabilidades explotadas conocidas. Los gobiernos están tomando cada vez más medidas proactivas al asignar fondos a iniciativas destinadas a fortalecer la postura de seguridad de la infraestructura crítica dentro del sector energético. En particular, el Departamento de Energía de Estados Unidos anunció recientemente una nueva iniciativa de financiación, destinando 70 millones de dólares para este fin apenas la semana pasada.
Forescout Research realizó este análisis utilizando su AEE, que abarca dispositivos conectados tanto reales como simulados. Este entorno sirve como una herramienta integral para identificar incidentes y discernir patrones de actores de amenazas a un nivel granular. El objetivo es mejorar las respuestas a ataques complejos a infraestructuras críticas a través de conocimientos detallados y la comprensión obtenida en este entorno de pruebas especializado.
Para obtener más información, descargue el informe completo, «Despejando la niebla de la guerra» – Descargar informe
Puedes ver la noticia original desde aquí