Historisk stort hackerangreb mod el-, varme- og vandsektoren afværget

Lasse Olsen 0 kommentarer

I maj blev det hidtil mest omfangsrige cyberangreb, hvor 22 selskaber inden for kritisk energiinfrastruktur blev angrebet, afværget af SektorCERT.

Historisk stort hackerangreb mod el-, varme- og vandsektoren afværget

SektorCERT, som er den danske forsyningssektors center for cybersikkerhed, afværgede tilbage i maj det største cyberangreb nogensinde. Det ramte 22 selskaber inden for el-, varme- og vandsektoren, oplyser brancheforeningen Green Power Denmark i en pressemeddelelse.

Læs også: It- og cybersikkerhed har aldrig været vigtigere end i dag

Usædvanligt angreb af hidtil uset størrelse

Det er ikke ualmindeligt, at kritisk infrastruktur angribes af cyberangreb. Faktisk er Danmark under konstant angreb, men i maj skete der et angreb ud over det sædvanlige.

SektorCERT, som er de kritiske sektorers cybersikkerhedscenter, er med til at opdage og håndtere, når kritisk infrastruktur udsættes for cyberangreb. Og det var med netop SektorCERT i spidsen, at det historiske angreb i maj blev afværget.

Da skete der nemlig et stort angreb, hvor 22 selskaber blev ramt i to bølger.

”Angrebet er det største i Danmark nogensinde. Vi har ikke set det omfang, den præcision og den professionalisme før. Der var tale om angribere, som på forhånd vidste, hvem de skulle ramme. Ikke en eneste gang skød de ved siden af. Det viser, at der er tale om en aktør med større kompetencer, end vi sædvanligvis ser ved såkaldte ransomware-angreb,” siger Jørgen S. Christensen, der er teknologidirektør i Green Power Denmark.

Han tilføjer, at angrebet er det tætteste, som landet har været på, at fjendtlige aktører har kunnet slukke for vores el, varme og vand. Ifølge SektorCERT er der også tegn på, at en statslig aktør kan have været involveret i angrebet.

Læs også: Stor stigning i phishingmails med QR-koder

270 sensorer opdagede angrebet

Det er takket være et netværk af 270 sensorer drevet af SektorCERT, at angrebene hurtigt blev opdaget og håndteret uden skade på den kritiske infrastruktur.

Sensorerne er opstillet hos blandt andet elnetselskaber, fjernvarmeværker og vandværker og er i stand til at opdage unormal aktivitet på tværs af selskaberne og identificere mønstre i angreb, så man hurtigt kan sætte ind.

”Den danske energisektor oplever hver dag forsøg på cyberangreb, men de fjendtlige aktører kommer sjældent forbi forsvarsmuren. Det gjorde de her, og vi skal forberede os på, at det kan ske igen. For cybertruslen bliver ikke mindre i fremtiden,” siger Jørgen S. Christensen og tilføjer:

”Den kritiske infrastruktur i Danmark er i søgelyset, og fjendtlige aktører bruger cybervåben, som kræver nøje overvågning og avanceret analyse at opdage. Derfor er det helt afgørende, at politikerne, myndighederne og forsyningssektoren har et stærkt fokus på cybersikkerhed.”

Læs også: Nyheder om it- og cybersikkerhed

Sådan forløb det massive hackerne angreb

I en analyse, som SektorCERT netop har udgivet, oplyser forsyningssektorens center for cybersikkerhed, at hackerne udnyttede en sårbarhed i en Zyxel-firewall, som mange medlemmer i energisektoren bruger. Sårbarheden blev annonceret 25. april 2023 og fik en score på 9,8 ud af 10, som betyder, at den var nem at udnytte og kunne få store konsekvenser.

SektorCERT advarede medlemmer om at patche netop Zyxel-firewalls og udsendte igen den 1. maj en ekstraordinær advarsel om at få installeret den seneste opdatering for at lukke sikkerhedshullet.

Den 11. maj ramte første bølge i et koordineret angreb mod 16 nøje udvalgte mål blandt danske energiselskaber. Angriberne udnyttede sårbarheden ved at sende en enkelt specielt konstrueret datapakke til port 500 over protokollen UDP. Pakken blev modtaget af Internet Key Exchange (IKE) packet decoderen på Zyxel-enheden, hvor sårbarheden lå. Resultatet var, at angriberen kunne afvikle kommandoer med root-privilegier direkte på enheden uden autentificering.

11 selskaber blev kompromitteret med det samme.

Den anden bølge ramte 22. maj – formentlig af en anden angrebsgruppe, som var bevæbnet med nye, hidtil usete cybervåben.

Her gik en alarm om, at flere medlemmers firewall begyndte at hente ny software over en usikker forbindelse. Firewallen begyndte at opføre sig som om, den var en del af det kendte Mirai-botnet, og medlemmets netværk viste sig også at deltage i DDoS-angrbe med to mål i USA og Kong Kong. Firewallene blev udskiftet for at få angriberne ud. Derefter var der stilhed i et døgn.

Endnu et medlem blev kompromitteret dagen efter og udnyttet til at deltage i et brute force-angreb via SSH mod et selskab i Canada. Først den 24. maj annoncerede Zyxel sårbarhederne, som hackerne formentlig har kendt til i forvejen. Igen blev flere medlemmers firewalls kompromitteret og brugt til angreb mod andre mål.

Senere gik en særlig alarm om, at der blev registreret trafik fra en kendt APT-gruppe kaldet Sandworn, som er under den russiske GRU-enhed og har udført nogle af de mest sofistikerede angreb mod industrielle kontrolsystemer nogensinde.

Af flere omgange registrerede SektorCERTs analytikere én enkelt pakke blandt milliarder af andre netværkspakker de dage. Pakken var unik, fordi angriberne angiveligt sendte pakkerne til formodede Sandworm-servere. Et medlem mistede al visibilitet til tre fjernlokationer og måtte overgå til manuel drift, da al intern trafik i produktionsnettet holdt op med at fungere.

25. maj kontaktede SektorCERT både politiets nationale center for cyberkriminalitet (NC3) og Center for Cybersikkerhed. Der blev i de kommende dage indsamlet beviser.

Da exploit-koden til nogle af sårbarhederne blev offentligt kendte omkring 30. maj, eksploderede angrebesforsøgene mod den danske kritiske infrastruktur – specielt fra IP-adresser i Polen og Ukraine. Modsat tidligere blev der nu skudt med spredehagl. Disse angrebsforsøg havde ingen konsekvenser.

Læs SektorCERTs analyse af analyse.