[English]Im Mai 2023 hat es wohl zwei Wellen an Cyberangriffen auf kritische Infrastrukturen (KRITIS) in Dänemark geben, wie erst jetzt bekannt wurde. In einem veröffentlichten Bericht des SektorCERT wird das Ganze als größter Cyberangriff auf dänische, kritische Infrastrukturen, der bekannt ist, bezeichnet. In den zwei Angriffswellen wurde 22 Energieunternehmen aus Dänemark kompromittiert. Im Mittelpunkt standen Schwachstellen in Zyxel-Geräten (Firewalls), die teilweise als 0-day ausgenutzt werden konnten.
Anzeige
Ich hatte das Thema vor drei Tagen in nachfolgendem Tweet von Manuel Atug gesehen – das Ganze ist in diesem dänischen Untersuchungsbericht (PDF) beschrieben.
Die Kernaussagen aus dem 32-Seiten umfassenden Bericht lassen sich auf einige Punkte eindampfen. Im Mai 2023 kam es zum größten Cyberangriff auf kritische dänische Infrastrukturen aus dem Energiesektor. Der Bericht macht mutmaßliche russische Bedrohungsakteure für die Angriffswellen verantwortlich, bei der 22 Unternehmen betroffen waren.
Dänemarks SektorCERT schreibt, dass "22 gleichzeitige Angriffe auf kritische dänische Energieversorger, die zudem noch erfolgreich verliefen, nicht alltäglich seien". "Die Angreifer wussten im Voraus, wen sie ins Visier nehmen wollten und lagen jedes Mal richtig. Nicht ein einziges Mal verfehlte ein Schuss sein Ziel." Dänemarks SektorCERT gibt an, über Beweise zu verfügen, die einen oder mehrere Angriffe mit dem russischen Militärgeheimdienst GRU (Sandworm) in Verbindung bringen. Die stützt sich auf Artefakte, die mit IP-Adressen kommunizieren, die der Hackergruppe zugeordnet werden konnten.
Anzeige
Am Anfang der Kette waren wohl zwei kritische Schwachstellen (CVE-2023-33009 und CVE-2023-33010, CVSS-Scores: 9.8) in Zyxel-Geräten. In meinem Blog-Beitrag Kritisches Sicherheitsupdate (24. Mai 2023) für alle Zyxel-Firewall-Produkte – Angriffe laufen bereits vom 25. Mai 2023 wurde bereits klar, dass Angriffe auf diese Geräte laufen. Die Schwachstellen ermöglichten nicht authentifizierten Angreifern DoS-Bedingungen und sogar eine Remotecode-Ausführung bei einige Zyxel-Firewall-Versionen.
Bereits am 11. Mail seien koordinierte Cyberangriffe über die Schwachstelle CVE-2023-28771, ein kritischer Command-Injection-Fehler (CVSS-Score: 9.8) in Zyxel-Firewalls erfolgt. Die Schwachstelle wurde Ende April 2023 öffentlich bekannt. Es wird im Bericht weiterhin vermutet, dass weitere Schwachstellen (CVE-2023-33009 und CVE-2023-33010) als 0-Days genutzt wurden, um die Zyxel-Firewalls in Mirai- und MooBot-Botnetze einzubinden. Das schließt man auch daraus, dass einige Geräte für Distributed-Denial-of-Service (DDoS)-Attacken gegen ungenannte Unternehmen in den USA und Hongkong genutzt wurden.
Nachdem der Exploit-Code für einige der Schwachstellen um den 30.5. herum öffentlich bekannt wurde, explodierten die Angriffsversuche gegen die kritische dänische Infrastruktur – insbesondere von IP-Adressen in Polen und der Ukraine aus", stellt der SektorCERT-Bericht fest. Der Ansturm der Angriffe veranlasste die betroffenen Einrichtungen, die Verbindung zum Internet zu unterbrechen und in den Inselbetrieb zu gehen.
Laut Report wurden bei 11 der kompromittierten Unternehmen bösartiger Code durch die Angreifer ausgeführt. Ziel war es, die Firewall-Konfigurationen zu erkunden und das weitere Vorgehen zu bestimmen. Der SektorCERT-Bericht stellt fest, dass diese Art der Koordination Planung und entsprechende Ressourcen erfordere. Durch den gleichzeitigen Angriff auf die Vielzahl der Ziele waren die Angreifer im Vorteil, da der Informationsaustausch zwischen den Opfern nicht gegeben war. Es gab also keine vorherige Warnung, was einerseits ungewöhnlich, aber andererseits extrem effektiv sei.
Die zweite Angriffswelle gegen die KRITIS-Unternehmen fand dann zwischen dem 22. und 25. Mai 2023 statt. Dabei kamen bisher unbekannte Tools für die Cyberangriffe zum Einsatz, so dass im SektorCERT-Bericht vermutet wird, dass sogar zwei verschiedene Bedrohungsakteure an der Kampagne beteiligt waren. Unklar ist, ob die Gruppen unabhängig voneinander agierten oder koordiniert waren. Die vielen Details lassen sich dem dänischen Untersuchungsbericht (PDF) entnehmen.
Anzeige
Laender die einen Krieg beginnen sollte man sofort komplett vom Internet verbannen.
Warum bauen die Kitris kein eigenes Netzwerk auf? Es waere ein einfaches ein zusaetzliches Netzwerk das keinen Zugang zum Internet hat umzusetzen.
KRITIS ist viel zu abstrakt, als dass man alle unter "KRITIS" fallenden Betriebe unter einen Hut / Netzwerk bekäme. Wir sind z.B. Lebensmittelgroßhändler und beliefern u.a. Krankenhäuser. Warum sollten wir mit einem Energieversorger in einem Netzwerk sein? Und wie kommen wir ins Internet. Bei dem o.g. Angriff handelt es sich ja nicht über einen Angriff z.B. auf einen Webserver hinter der Firewall, sondern auf den Internetzugangspunkt.
Wenn man das so liest, kommt fast der Verdacht auf, dass Zyxel selber bereits Opfer einer Attacke war und die Angreifer an Code gekommen sind, in dem sie nach Schwachstellen gesucht haben, die sie dann aber ganz gezielt ausgenutzt haben. Vielleicht hat auch ein Akteur mit großem Budget mehrere Zyxel-Geräte und deren Firmwares gezielt anaylsiert.
Diese "professionellen" Lösungen erscheinen immer häufiger in einem ziemlich schlechten Licht. Hier hat dann auch noch die Monokultur bei gleichzeitigem Unwissen, was da im eigenen Netz hängt bzw. die Unsicherheit, wer denn für die Wartung der Geräte zuständig ist, ein Übriges getan, wenn ich den Bericht korrekt verstehe. Wahnnsinn, wenn man bedenkt in welchen kritischen Bereichen die eingesetzt werden.
Es zeigt sich mal wieder, wie wichtig es ist, Sicherheitsupdates möglichst sofort einzuspielen.
Immerhin vergingen hier wohl 6 Tage zwischen Verfügbarkeit des Sicherheitsupdates (24.5.23) und verstärkten Angriffen (30.5.23).
Und es ist grundsätzlich eine schlechte Idee, kritische Infrastrukturen aus dem Internet erreichbar zu machen.
Das ist nicht so ganz korrekt. Der erste Einstieg war bereits am 11.5. Die haben mit einem einzigen gezielten Paket an den Port 500 (isakmp, IPsec), die Zyxel-Dosen geöffnet. Das Problem wurde dann wohl gefixt, was aber nicht geholfen hat, denn es gab weitere bereits bekannte Schwachstellen, die durch diesen Fix nicht geschlossen wurden und im Anschluss ausgenutzt wurden.
Das mit dem schnellstmöglichen Patchen ist natürlich klar, dass man das tun sollte. Man kann aber erst, wenn der Patch verfügbar ist was machen. Und es muss klar geregelt sein, wer denn für das Einspielen zuständig ist.
Nachtrag: Diese Ding wurde am "25.4." gefixt. Ich habe aufgrund Deines "24.5." etwas verwechselt. *ouch*
Ich werfe jetzt Mal in den Raum, dass Zyxel meiner Meinung nach nicht für den KRITIS Bereich geeignet ist.
dann wäre Cisco, Fortinet, Juniper usw. auch alle raus – vor allem Cisco …
:-)
Korrekt. Ohne ":-)"
Man kann z.B. Lancom oder Nokia verwenden.
Die Telekom hat vor einigen Jahren alle Standleitungen gekündigt und alle Kritis-Kunden ins Internet gezwungen.
Natürlich per VPN.
Der Kampf gegen offene Ports und "wir brauchen mal dieses oder jenes unbedingt aus dem Internet" geht leider nie zu Ende.
Dazu kommt die Bequemlichkeit, dass Benutzern am Prozessleitsystem-Mobilterminal keine langen oder gar wechselnden Passworte zugemutet werden können.
"Was will denn jemand in unserer Kläranlagen-Steuerung, ihr von der IT spinnt doch."