SAN JOSE, California, 11 gennaio 2024 – Forescout, leader mondiale nella sicurezza informatica, ha presentato oggi “Clearing the Fog of War”, un rapporto che mette in luce nuove prove relative a due attacchi che hanno colpito il settore energetico danese nel maggio 2023.
Forescout Research – Vedere Labs ha condotto un’analisi indipendente di questi attacchi e ha scoperto una campagna più ampia che non poteva essere attribuita solo all’Advanced Persistent Threat (APT) Sandworm, oltre ad altri risultati che il CERT danese, SektorCERT, non ha pubblicato nel suo rapporto del novembre 2023..
Nelle sue osservazioni sull’Adversary Engagement Environment (AEE), Vedere Labs ha identificato due risultati significativi:
- Sandworm non ha sferrato entrambi gli attacchi: i ricercatori di Forescout hanno descritto in dettaglio una tecnica diversa per colpire le infrastrutture critiche nella seconda ondata rispetto a quella utilizzata nella prima. Ciò suggerisce che Sandworm non può essere indicato come unico responsabile.
- Copycat ha adottato un exploit di massa: La seconda ondata di attacchi ha sfruttato firewall privi di patch utilizzando la nuova vulnerabilità CVE-2023-27881 e altri indirizzi IP non segnalati nel rapporto SektorCERT. Le prove suggeriscono che la seconda ondata faceva parte di una campagna separata.
“Distinguere tra una campagna sponsorizzata dallo Stato e finalizzata all’interruzione delle infrastrutture critiche e un’ondata criminale di campagne di sfruttamento di massa e, allo stesso tempo, tenere conto delle potenziali sovrapposizioni tra le due è più facile da gestire con il senno di poi che nella foga del momento”, osserva Elisa Costante, VP of Research di Forescout Research – Vedere Labs. “Questo studio sottolinea l’importanza di contestualizzare gli eventi osservati con informazioni complete su minacce e vulnerabilità per migliorare il monitoraggio delle reti OT e potenziare i piani di risposta agli incidenti”.
Dopo il secondo incidente, nei mesi successivi, altri attacchi hanno preso di mira dispositivi all’interno di infrastrutture critiche in tutto il mondo. I ricercatori di Forescout hanno rilevato numerosi indirizzi IP che hanno tentato di sfruttare la vulnerabilità CVE-2023-28771 di Zyxel, presente fino all’ottobre 2023, su vari dispositivi, tra cui firewall. Attualmente, sei diverse società elettriche in paesi europei utilizzano firewall Zyxel e potrebbero rimanere suscettibili di potenziale sfruttamento da parte di malintenzionati.
Questa recente evidenza sottolinea un imperativo per le aziende energetiche e le organizzazioni che supervisionano le infrastrutture critiche: porre maggiore attenzione sull’utilizzo delle informazioni sulle minacce, comprese quelle sugli IP dannosi e sulle vulnerabilità note. I governi stanno adottando sempre più misure proattive, stanziando fondi per iniziative volte a rafforzare la sicurezza delle infrastrutture critiche del settore energetico. In particolare, il Dipartimento dell’Energia degli Stati Uniti ha recentemente annunciato una nuova iniziativa di finanziamento, stanziando 70 milioni di dollari proprio la scorsa settimana.
Forescout Research ha condotto questa analisi utilizzando il suo AEE, che comprende dispositivi connessi reali e simulati. Questo ambiente funge da strumento completo per individuare gli incidenti e discernere i modelli degli attori delle minacce a livello granulare. L’obiettivo è quello di migliorare le risposte agli attacchi alle infrastrutture critiche più complesse, grazie alle informazioni dettagliate e alla comprensione ottenuta da questo ambiente di test specializzato.
Informazioni su Forescout
Forescout Technologies, Inc., leader mondiale nella cybersecurity, identifica, protegge e aiuta a garantire la conformità di tutte le risorse informatiche connesse gestite e non gestite – IT, IoT, IoMT e OT. Da oltre 20 anni, le organizzazioni Fortune 100 e le agenzie governative si affidano a Forescout per fornire una cybersecurity automatizzata e indipendente dai fornitori. La piattaforma Forescout® offre funzionalità complete per la sicurezza della rete, la gestione del rischio e dell’esposizione e il rilevamento e la risposta estesi. Grazie alla condivisione del contesto e all’orchestrazione del flusso di lavoro tramite i partner dell’ecosistema, consente ai clienti di gestire in modo più efficace il rischio informatico e di ridurre le minacce.
Potete vedere l’articolo originale qui