据调查去年针对丹麦能源部门的网络战与俄罗斯沙虫组织无关

最新的网络安全调查显示，去年针对丹麦能源部门的网络攻击可能没有与俄罗斯相关的 Sandworm 黑客组织参与。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，这些入侵于 2023 年 5 月针对大约 22 个丹麦能源组织，分两波以不同的方式进行，其中一波利用了合勤 (Zyxel) 防火墙的安全漏洞 (CVE-2023-28771)，而后续的活动集群则让攻击者部署了 Mirai 僵尸网络通过未知的初始访问向量在受感染主机上进行变体。

第一波发生在 5 月 11 日，第二波持续时间为 2023 年 5 月 22 日至 31 日。在 5 月 24 日检测到的一次此类攻击中，观察到受感染的系统正在与 IP 地址 (217.57.80.18 和 70.62.153.174），之前被用作现已拆除的​​Cyclops Blink僵尸网络的命令和控制 (C2)。

然而，Forescout 对攻击活动的仔细检查表明，这两波攻击不仅无关，而且也不太可能是国家资助的组织所为，因为第二波攻击是针对未打补丁的合勤 (Zyxel) 的更广泛的大规模剥削活动的一部分。防火墙。目前尚不清楚这两起袭击的幕后黑手是谁。

该活动被描述为对丹麦的第二波攻击，在10天时间段之前开始并在10天时间段之后继续，以非常相似的方式不加区别地针对防火墙，只是定期更换临时服务器。

有证据表明，攻击可能早在 2 月 16 日就开始使用合勤科技设备的其他已知缺陷（CVE-2020-9054 和 CVE-2022-30525）以及 CVE-2023-28771，并持续到 2023 年 10 月。该活动挑选了欧洲和美国的各个实体

这进一步证明，CVE-2023-27881 的利用并不仅限于丹麦关键基础设施，而是持续存在并针对暴露的设备，其中一些恰好是保护关键基础设施组织的 Zyxel 防火墙。