丹麦CERT报告全面分析针对该国基础设施的最大规模网络攻击

编者按

丹麦非营利性网络安全组织SektorCERT近日发布题为《针对丹麦关键基础设施的攻击》的分析报告，全面分析和总结了2023年5月针对丹麦关键基础设施的广泛网络攻击，并指出具有俄罗斯官方背景的黑客组织“沙虫”可能参与了此次攻击。根据报告，此次大规模攻击涉及3波共22次成功攻击。其中：

第一波攻击发生在5月11日。攻击组织利用台湾合勤公司（Zyxel）防火墙的漏洞（CVE-2023-28771）对16个丹麦目标发起攻击，成功侵入11家能源公司并控制了目标公司所用防火墙，但在能够利用对关键基础设施的访问权限前被发现并被阻止。此波网络攻击是一次针对多个目标的协调性网络攻击，攻击者确切地知道所要攻击的目标。尽管此波攻击准备充分，但由于SektorCERT、SektorCERT成员公司以及供应商的协作而未能达成目标。

第二波攻击发生在5月22日至24日期间。攻击组织掌握了两个未公开Zyxel防火墙漏洞（CVE-2023-33009和CVE-2023-33010），运用新的、前所未见的网络武器，成功对丹麦目标公司发起8次网络攻击。在成功实施入侵后，攻击者将遭渗透设备纳入Mirai僵尸网络，进而将设备用于对美国、加拿大、香港等国家和地区目标开展的DDoS攻击。SektorCERT与遭攻击公司合作，采取切断互联网连接并进入“孤岛运营”模式的方式阻止了此波网络攻击。

第三波次攻击发生在5月24日至5月底。SektorCERT发现，俄罗斯APT组织“沙虫”（Sandworm）等攻击组织对丹麦目标发起3次网络攻击。攻击者在侵入目标后，先通过限制操作的方式保持隐蔽存在，后通过发送某1340字节的网络数据包导致三处设施断联。SektorCERT将情况上报丹麦国家网络犯罪中心（NC3）和网络安全中心，并与相关机构、成员公司等合作，通过现场手动操作、切断互联网连接、进入“孤岛运营”等方式消除了此波攻击的影响。此外，在相关漏洞被公开披露后，针对丹麦关键基础设施的攻击尝试呈爆炸式增长，尤其是来自波兰和乌克兰IP地址的攻击。

根据洛克希德·马丁公司的“网络杀伤链”分析：在侦察方面，无法确定攻击者如何获得针对目标的必要信息；在武器化方面，攻击者根据对漏洞的了解开发了可以在易受攻击的 Zyxel 设备上执行的所谓漏洞利用代码；在投送方面，攻击者将一种特殊格式的网络数据包在端口 500 上发送到防火墙的 VPN 服务；在利用方面，攻击者通过上述网络数据来联系攻击者服务器并执行附加代码的指令；在安装方面，攻击者将各种有效负载安装在已受损的防火墙上从而能够控制防火墙；在命令与控制方面，攻击者利用相关有效负载来确保通过所谓的命令与控制通道保持联系；在行动方面，攻击者通过保持防火墙的正常运行来防止被检测发现。

报告称，5月的网络攻击是迄今为止对丹麦关键基础设施最大规模的网络攻击，攻击者在数日内就获得了22家公司基础设施的访问权限；攻击者准备充分，事先就了解攻击目标性质，并且利用漏洞成功实施了攻击；此次针对丹麦关键基础设施的协调一致的成功攻击非同寻常，有迹象表明国家背景的黑客组织可能参与了一次或多次攻击；丹麦拥有高度分散的能源系统，拥有许多规模较小的运营商，众多公司存在的“系统性漏洞”被利用可能对社会造成严重影响；丹麦的关键基础设施不断受到外国行为者的网络攻击，关键基础设施运营者需提高警惕，并确保采取正确的措施来预防、检测和处理上述网络攻击；跨单部门和多部门的监控有助于检测和响应同时针对多个目标的攻击，公私合作有助于将针对关键基础设施的攻击所造成的影响降到最低。

奇安网情局编译有关情况，供读者参考。

由丹麦关键基础设施公司拥有和资助的非营利组织SektorCERT于11月12日发布题为《针对丹麦关键基础设施的攻击》的报告，概述了迄今为止已知的针对丹麦关键基础设施的最广泛的网络相关攻击。报告称，俄罗斯威胁行为者可能与所谓的“针对丹麦关键基础设施的最大网络攻击”有关，其中 22 家与该国能源部门运营相关的公司在2023年5月成为被攻击目标。

SektorCERT是丹麦关键部门的网络安全中心，是各部门防御网络威胁的重要组成部分。SektorCERT帮助检测和管理关键基础设施何时遭受网络攻击，并且构建和共享可以防止下一次攻击的关键知识。除此之外，SektorCERT还监控与该组织广泛的传感器网络相连的行业中的公司。通过传感器网络，SektorCERT监控互联网流量，以检测针对丹麦关键基础设施的网络攻击。SektorCERT与欧洲其他 CERT 合作，并且是许多网络安全组织的成员，对关键基础设施面临的威胁拥有广泛的了解。

SektorCERT运用传感器网络来创建丹麦关键基础设施所面临威胁的概况，并检测针对传感器网络中的公司的攻击。该传感器网络对于发现报告中描述攻击的模式并能够快速响应至关重要。在个别攻击可能被忽视的情况下，该传感器网络确保通过查看跨公司的数据，能够识别攻击者及其方法。

“

攻击情况概要

2023年5月，丹麦的关键基础设施遭受了迄今为止丹麦经历过的最广泛的网络相关攻击。运营部分丹麦能源基础设施的22家公司在一次协同攻击中遭到渗透。结果是攻击者获得了一些公司的工业控制系统的访问权限，一些公司不得不进入“孤岛模式”运行。

• 最大规模的攻击。据SektorCERT所知，此前从未发生过针对丹麦关键基础设施的如此大规模的网络攻击。攻击者在几天内就获得了22家公司基础设施的访问权限。

• 准备充足的攻击者。攻击者事先就知道目标性质，并且每次都得逞。

• 针对丹麦关键基础设施的协调一致的成功攻击。丹麦不断受到攻击，但发现如此多针对关键基础设施的并发、成功的攻击是不寻常的。

• 国家行为体可能参与。有迹象表明，某个国家行为者可能参与了一次或多次袭击。

“

攻击案例详细分析

攻击前

4月25日

4月25日，生产被许多SektorCERT成员使用的防火墙的台湾合勤公司（Zyxel）宣布，其众多产品中存在严重漏洞（CVE-2023-28771）。该漏洞的得分为9.8（评分范围为 1-10），这意味着该漏洞相对容易被利用，而且可能会产生严重后果。在此特定案例中，存在一个漏洞，允许攻击者在不知道设备的用户名或密码的情况下向 Zyxel 防火墙发送网络数据包并获得对防火墙的完全控制。使情况变得更加严重的是，恰恰是必须保护其背后设备的防火墙容易受到攻击。

SektorCERT的许多成员都使用相关防火墙来保护工业控制系统。因此，这些单位通常是攻击者和丹麦关键基础设施控制之间的全部障碍。监控互联网威胁的非营利组织Shadowserver表示，“在这个阶段，如果有暴露的易受攻击的设备，请假设已遭入侵。”因此，所面临的情况是，攻击组织拥有一个众所周知的漏洞，可以利用该漏洞渗透工业控制系统。防止这种情况发生的主要防御措施正是易受攻击的设备。这是所谓可以想象的最坏情况。

5月1日

SektorCERT此前曾警告成员特别注意修补Zyxel防火墙的重要性，但在5月1日，SektorCERT发出了特别警告，要求安装最新更新。目前，丹麦尚未发现任何攻击，但SektorCERT在其他国家的合作伙伴清楚地表明，攻击者将目光转向丹麦只是时间问题。

第一波攻击

5月11日

5月11日，一个攻击组织试图利用漏洞（CVE-2023-28771）对丹麦能源公司中精心挑选的16个目标开展协调攻击。攻击者事先就知道攻击目标。所有攻击均命中目标，所有攻击都准确地击中了漏洞所在。SektorCERT评估认为，攻击者不想过于声张，但想“在雷达下飞行”并避免在有人监看时被发现。

该漏洞本身是通过向易受攻击的Zyxel设备通过UDP协议向端口500发送单个特制数据包来利用的。该数据包由Zyxel设备上的互联网密钥交换（IKE）数据包解码器接收。上述漏洞正是在这个解码器中。结果是攻击者无需身份验证就可以直接在设备上以root权限执行命令。通过向设备发送单个数据包即可执行攻击。

11 家公司立即受到侵害。这意味着攻击者获得了这些公司的防火墙的控制权，从而可以访问其背后的关键基础设施。另外5家公司最终没有完成命令。可能是因为发送的数据包格式不正确，导致攻击失败。对于被入侵的11家公司，攻击者在防火墙上执行代码，导致防火墙将其配置和当前用户名返还给攻击者。SektorCERT估计攻击者使用此命令进行侦察，以了解各个防火墙的配置情况，然后选择如何开展进一步的攻击。

关于这次攻击的一些值得注意的事情：

首先，如前所述，攻击者确切地知道要攻击目标。目前，Shodan等公共服务无法提供有关谁拥有易受攻击设备的信息。因此，攻击者必须通过其他方式获得有关谁拥有易受攻击的防火墙的信息。SektorCERT无法在攻击发生前在数据扫描中进行识别，而这本来可以为攻击者提供必要的信息。直到现在，还没有明确解释攻击者如何获得必要的信息，但可以明确的是300家成员均未躲过攻击。

另一件值得注意的事情是，如此多的公司同时受到攻击。这种协调需要规划和资源。同时攻击的优点是，一次攻击的信息无法传播到其他目标，以免为时已晚。这使得信息共享的力量无法发挥作用，因为没有人可以提前警告正在进行的攻击，因为每个人都同时受到攻击。这是不寻常的——而且极其有效。

它还产生了另一个后果：SektorCERT必须同时处理16个案例。这项任务对事件团队提出了非凡的要求。5月11日，毫无疑问必须全天候进行工作，以确保攻击者无法进入为丹麦民众提供电力和热力的关键基础设施。因此，该团队做出了一个决定性的决定：在工作时间之外继续处理这些事件，尽管SektorCERT中实际上没有人员来处理此事。

正因为如此，通过团队以及供应商和快速反应的成员的巨大努力，整个下午、傍晚和晚上，SektorCERT才能够确保11家遭侵害的能源公司的安全。这是保护关键基础设施的巨大胜利。对于攻击者来说，这是一场惨败。与此同时，对于家里仍然有电和暖气的丹麦人来说，这是一个完全看不见的事件。完全没有意识到网络空间中为保护丹麦民众所依赖的基础设施而进行的战斗。

尽管准备工作很充分，攻击者还是不得不接受他们的第一波攻击失败了。他们确实设法站稳脚跟并控制了能源公司的防火墙，但在他们能够利用对关键基础设施的访问权限前，他们就被发现并被阻止了。接下来的10天里，袭击者一直按兵不动。

第二波攻击

5月22日

5月22日，第二波攻击开始。攻击组织可能配备了新的、前所未见的网络武器。在此期间是否同一攻击组织正在为第二波攻击做准备，或者其他攻击组织开始发挥作用，不得而知。SektorCERT倾向于认为，根据攻击的“风格”，存在两个不同的攻击组织。但这些组织是否一起工作、为同一雇主工作，或者完全不知道彼此的存在，不得而知。

5月22日14时44分

SektorCERT再次发出警报。SektorCERT发现一名成员正在通过不安全的连接为其防火墙下载新软件。这种警报本身并不一定证明该成员受到攻击。但前几周的经历还历历在目，这是一个明显的迹象，表明事情已经发生了。值得注意的是，警报只有在成员的防火墙开始下载新软件时才会响起。在此之前，一定有过一次攻击，使得攻击者能够让防火墙下载这个新软件。SektorCERT对前期的攻击没有深入了解。

SektorCERT监控了流量，并观察到有问题的防火墙随后开始表现得好像它是已知Mirai僵尸网络的一部分。这是一个积极的信号，因为这可能意味着攻击者只想利用防火墙的访问权限来执行DDoS攻击，而不是影响他们（可能在不知不觉中）同时访问的关键基础设施。

还有命令与控制流量。但是，由于加密，无法查看命令与控制服务器发回的命令。但SektorCERT可以看到后果。该成员随后参与了针对美国和香港两个目标的DDoS攻击，从而在不知情的情况下成为针对其他公司的网络攻击的一部分。根据SektorCERT的建议，该成员在 15 时前完全关闭了互联网连接并进入“孤岛运营”。这赢得了一些时间来从供应商那里获得帮助来重置防火墙、安装更新并确保攻击者没有将访问权限用于除DDoS攻击外的任何其他用途。与此同时，SektorCERT开始调查攻击者是否有除此之外的其他目标，以及使用了哪种攻击方法。

目前尚不清楚哪些漏洞与这些攻击有关。Zyxel尚未宣布任何新漏洞，SektorCERT对攻击的分析使其相信，这与5月11日观察到的攻击类型不同。几天后（5月24日）， Zyxel宣布了两个新漏洞：CVE-2023-33009和CVE-2023-33010。然而，这些漏洞在攻击发生时（5月22日）仍是未知漏洞，SektorCERT评估认为，攻击者可能在Zyxel宣布这些漏洞前就知道这些漏洞，并选择利用这些知识来攻击丹麦的关键基础设施等目标。

5月22日，SektorCERT只能确定丹麦关键基础设施仍然受到攻击，并且Zyxel防火墙似乎容易受到攻击。然而，没过多久，下一次进攻就需要整个团队集中注意力。

5月22日18时13分

早在18时13分，下一次袭击就开始了，作案手法与当天早些时候相同。SektorCERT再次在正常工作时间后长时间工作，帮助该成员对付攻击者。20时左右，该成员切断了互联网连接，开始进入“孤岛运营”。后来证明有必要完全更换防火墙才能将攻击者赶走，因此旧防火墙再也没有投入使用。大约1天的时间内，袭击者一直寂然不动。

5月23日18时43分

但5月23日18时43分发生了下一次攻击，一名新成员受到了侵害。在此，攻击者设法利用该成员的基础设施通过SSH参与对加拿大一家公司的暴力攻击，然后SektorCERT与该成员一起阻止了攻击。

5月24日

Zyxel宣布已发现两个新漏洞（CVE-2023-33009和CVE-2023-33010）。这也意味着现在世界上所有的黑客都可以获得这些知识，但是他们仍然必须自己开发攻击，即所谓的漏洞利用。

5月24日10时27分

当下一个成员在5月24日10时27分受到攻击时，SektorCERT发现该成员的Zyxel防火墙拾取了 4 个不同的负载。SektorCERT的评估是，攻击者尝试了不同的有效负载，以评估哪种有效负载效果最好，这就是下载了几个不同的有效负载的原因。随后，攻击者利用该成员的访问权限对各种目标进行DDoS攻击，然后SektorCERT与该成员合作阻止了攻击。

5月24时10时31分至10时58分

在17分钟的时间里，又有3个成员遭到入侵，所有情况下都使用了名为MIPSkiller的有效负载，然后所有3个成员的防火墙都被用来参与针对其他目标的攻击。在一个案例中，由于流量如此之大，防火墙变得过载并且无法再运行，导致两种攻击以及成员的网络停止工作。在接下来的5个小时内，攻击出现了间歇期，这让SektorCERT有时间制定新规则，以确保在下午另1名成员受到攻击前可以更好地识别未来的攻击。

5月24日15时59分

15时59发生了下一次攻击，这次使用了与之前不同的有效负载，然后该成员被纳入著名的Mirai Moobot僵尸网络。这次攻击的一个特别之处在于，该成员认为他们没有Zyxel防火墙。但在SektorCERT致电后进行彻底调查后发现，一家供应商在安装摄像头时使用了Zyxel防火墙，而现在正是该防火墙受到了攻击。值得注意的是，对于这些第二波攻击，攻击者可能了解Zyxel尚未披露的漏洞。这可能表明，如今一名或多名攻击者拥有很少有人知道的网络武器，因此很难检测到。通常，攻击者会非常小心这些武器的用武之地。因为一旦发现这种武器，就可以迅速开发出针对它们的防御措施。

出乎意料的攻击

5月24日19时2分

SektorCERT从未预料到会看到的警报之一响起了。这是一种如果发现进出某个已知 APT 组织的流量就会通知SektorCERT的警报。

“沙虫”（Sandworm）是最著名的 APT 组织之一。该组织在俄罗斯联邦武装力量总参谋部情报总局（GRU）部门的领导下，对工业控制系统开展了一些有史以来最复杂的攻击。除此之外，Sandworm 是2015年和2016年针对乌克兰的破坏性攻击的幕后黑手，其中网络攻击导致数十万民众断电。SektorCERT在三年运营中从未发现这些 APT 组织攻击丹麦关键基础设施的迹象。他们的活动往往是针对他们所服务国家出于各种政治或军事考虑而想要破坏的目标。

当警报响起时，并不一定是因为出现问题。这就是所谓的指标。表明某些事情值得进一步调查的迹象。幸运的是，SektorCERT拥有可靠的数据库来做到这一点。这项工作虽然耗时，但却是必要的，以便了解攻击者在攻击前做了什么、目标是谁以及攻击是如何进行的。最重要的是，还有攻击是否成功。通常需要处理大量数据。攻击需要准备、侦察、执行、追击等。

但这次情况不同。当天，攻击者隐藏在 SektorCERT 从传感器网络收到的数十亿个其他网络数据包中，在入侵后仅发回了一个数据包。正如一位分析师在参考电影《追捕红色十月》时所观察到的那样，“只有一次ping”。这是非常不寻常的，而且很可能是为了一件事而设计的动作：避免被发现。大致相当于把一粒糖藏在沙袋里。SektorCERT发现了一粒糖，现在必须找出为什么以及如何隐藏在那里。

SektorCERT的分析师特别观察到，端口10049上有通过TCP协议流向217.57.80[.]18的流量。该流量由一个1340字节的网络数据包组成，并且没有返回任何响应。“仅一次ping”。SektorCERT有可靠的信息表明该IP地址属于Sandworm组织，该组织约1年前一直在积极使用该地址。从其他来源证实，该IP地址在几个月前还被该组织继续使用。因此，这可能是与Sandworm的通信。

5月25日1时22分

5月24日至25日夜间1时22分，一名新成员遭到攻击，情况再次重演。这一次，攻击者通过TCP协议向端口20600上的另一个可疑Sandworm服务器（70.62.153[.]174）发送了一个数据包。

同样，它是一个1340字节的数据包。然而，与19时2分的攻击相比，这次攻击给该成员带来了重大、明显的后果。SektorCERT直到11时45分才意识到这一点，当时该成员报告说他们已经无法看到三个远程位置，并且防火墙随后完全失灵。他们开始手动开车到所有偏远地点处理手动操作。由于此防火墙还充当OT网络的内部路由器，这意味着生产网络中的所有内部流量也停止在该成员上工作。

5月25日7时55分至8时22分

上午结束前，又发生了两次袭击，但这些袭击并未遵循前两次的“配方”。在7时55分和8时22分发生的这些新攻击中，使用了许多不同的有效负载，并多次尝试检索这些有效负载。这表明可能是另一攻击者。在这次攻击中，没有与可能与Sandworm有关的基础设施进行通信，这再次表明它是不同的攻击者或来自同一攻击者的不同组织。这些攻击很相似，但最后一次发生在8时22分的攻击具有复杂性，该成员随后选择不修补他的防火墙。这导致在接下来的几天里，该成员多次遭到多个不同攻击者的攻击。

5月25日12时

鉴于Sandworm可能参与其中以及对丹麦关键基础设施运行造成的具体后果，SektorCERT于12时联系了警方的国家网络犯罪中心（NC3）和网络安全中心。与此同时，SektorCERT向该成员派遣了分析师，以收集尽可能多的信息。

与该成员达成一致，关闭所有与互联网的连接，但防火墙继续运行，以确保关闭时内存中的任何恶意软件不会被删除。由于攻击的严重性，该成员选择向供应商订购新的防火墙，结果“孤岛运行”了6天。

在接下来的几天里，SektorCERT与警方密切合作，收集恶意软件代码并创建攻击概述。NC3 的分析师随后开始对SektorCERT收集的恶意软件进行深入分析。与此同时，有关新攻击的信息在SektorForum上分享，SektorCERT再次呼吁修补防火墙。

5月30日

一些漏洞的利用代码在5月30日左右被公开后，针对丹麦关键基础设施的攻击尝试激增，尤其是来自波兰和乌克兰的IP地址。以前，个别、选定的公司成为攻击目标，而现在，各方都遭到“枪林弹雨”——包括不易受到攻击的防火墙。这对SektorCERT 的成员没有造成任何后果，他们此时已经采取了必要的措施来保护自己，因此不再容易受到这些攻击企图的影响。

5月31日

SektorCERT与成员举行的每月电话会议重复了这些建议，有100多家会员参加。

思考

尚不能确定Sandworm是否参与了这次攻击。SektorCERT已经观察到了这方面的个别迹象，但没有机会既不确认也不否认。这种情况本身并不罕见。众所周知，网络攻击很难归因于特定的攻击者，而且通常是攻击者发出的很小的、几乎微不足道的错误可以表明攻击者可能是谁。因此，没有证据指控俄罗斯参与了这次袭击。SektorCERT唯一可以确定的是，丹麦的关键基础设施受到关注，网络武器正在针对丹麦的基础设施使用，这需要仔细的监控和高级分析才能发现。在这种情况下，唯一拯救基础设施的是SektorCERT与成员和供应商合作，设法迅速做出反应，以便在攻击者的访问被用来破坏关键基础设施前阻止他们。

“

案例分析结论

SektorCERT对此次攻击的结论如下：

• 系统性漏洞：丹麦拥有高度分散的能源系统，拥有许多规模较小的运营商。因此，针对这些运营商之一的攻击通常不会对社会造成严重影响。SektorCERT长期以来一直关注“系统性漏洞”。换句话说，许多公司都存在相同的漏洞，如果该漏洞被跨公司利用，就会给社会带来潜在的危急情况。这正是SektorCERT发现的情况。作为一个社会，丹麦可能应该更加关注这一问题，因为其后果可能会很大。

• 开阔性视野：有些攻击（例如本报告中描述的攻击）的实施方式非常难以检测。SektorCERT不会查看一家公司的数据，而是查看数百家公司的数据。通过这种方式，SektorCERT可以检测到有人试图同时攻击多家公司，从而可以创建单独监控公司时不可能获得的见解。这种跨单部门和跨多部门的监控有助于确保SektorCERT将来也能够检测和响应同时针对多个目标的攻击。

• 持续性攻击：丹麦的关键基础设施不断受到外国行为者的网络攻击。因此，运行关键基础设施的所有人员都应该格外注意，并确保采取正确的措施来预防、检测和处理这些攻击。

• 可能的后果：如果SektorCERT没有及时发现攻击并迅速关闭攻击者的访问，这些攻击的后果可能会严重得多。如果允许攻击者保持访问权限，他们可能会控制丹麦大部分关键基础设施的运行，这可能会对社会产生重大影响。

• 机构间合作：SektorCERT与成员及其供应商以及警言NC3间的合作非常出色，有助于将攻击对关键基础设施造成的影响降到最低。

• 国家行为者：有迹象表明，国家行为者可能参与了针对丹麦的袭击。然而，考虑由此产生的任何地缘政治后果不属于SektorCERT 的职责范围。

“

攻击的时间表

此次攻击的时间表涵盖2023年4月25日至2023年6月2日。在此之前，SektorCERT在 2022 年多次呼吁成员，确保特别是Zyxel防火墙不断得到补丁，因为这些设备之前存在漏洞，而且SektorCERT知道这些类型的设备在各领域广泛使用。

4月25日

合勤科技（Zyxel）宣布，在其多种产品中发现了一个严重漏洞。

5月1日

SektorCERT发出了安装最新更新的额外警告。

5月11日（前11次攻击）

一名或多名攻击者试图使用CVE-2023-28771攻击 16 家公司。在端口500上使用特殊格式的网络数据包来攻击防火墙的VPN服务。其中11家公司被成功入侵。另外5家公司最终未完成命令。

对于被入侵的11家公司，相关防火墙通过端口8080/8081联系IP地址46.8.198.196。从这里他们收到以下命令：

zysh -p 100 -e ’show username’;zysh -p 100 -e ’show running-config’

该命令旨在检索防火墙的配置和当前用户名。有关攻击的信息已在SektorForum上共享。

5月22日14时44分（第12次攻击）

SektorCERT观察­到一名成员正在通过不安全的连接为其防火墙下载新软件。数据显示下载了2个不同的文件：

URL = http://45.89.106[.]147:8080/mpsl

MD5 = 5b0f10b36a240311305f7ef2bd19c810

URL = http://45.89.106[.]147:8080/mips

MD5 = 9a7823686738571abf19707613155012

这些文件是Zyxel防火墙的新软件，改变了成员防火墙的工作方式。几分钟后，SektorCERT可以观察到有问题的防火墙开始表现得好像它是已知Mirai 僵尸网络的一部分。当防火墙开始与IP地址为185.44.81[.]147的名为“www.joshan[.]pro”的服务器通信时，这一点得到了确认。通信通过TCP协议在端口56999上进行。已知用于处理与Mirai变体MooBot相关的所谓“命令与控制”流量的地址和端口组合。

SektorCERT 可以观察到该成员随后立即参与了 DDoS 攻击，其目标有两个：

第一个目标位于香港：156.241.86[.]2

第二个目标位于美国：63.79.171[.]112

5月22日15时

SektorCERT的建议，该成员完全关闭了互联网连接并进入“孤岛运营”。

5月22日18时13分（第13次袭击）

另一名成员受到与当天早些时候相同的作案手法的袭击。这位成员也进行了“孤岛运营”。

5月22日20时01分

有关攻击的信息已在SektorForum上共享。

5月23日18时43分（第 14 次袭击）

一名新成员遭到袭击。攻击者利用该成员的基础设施通过 SSH 对加拿大的一家公司进行暴力攻击。

5月24日9时

SektorCERT与该成员一起阻止了前一天18时43分开始的攻击­。

5月24时10时

Zyxel宣布了两个新漏洞（CVE-2023-33009和CVE-2023-33010）。

5月24日10时27分（第15次攻击）

下一个成员遭到攻击。这次， SektorCERT可以观察到该成员的Zyxel防火墙检索到 4 个不同的有效负载：

http: //145.239.54[ .]169/mipskiller

http: //176.124.32[ .]84/mipskiller

http: //185.180.223[ .]48/mipskiller

http: //91.235.234[ .]81/proxy2

5月24日10时31分（第16次攻击）

另一名成员遭到袭击。这次使用了以下有效负载：

http: //176.124.32[ .]84/mipskiller

攻击者再次利用其对基础设施的访问权限让成员参与DDoS攻击。

5月24日10时33分（第 17 次攻击）

一名新成员使用完全相同的配方和相同的有效负载受到攻击。攻击者再次利用其访问权限让该成员参与DDoS攻击。

5月24日10时58分（第18次攻击）

又一次针对会员的攻击。这里，攻击者在30分钟内下载了 3 次相同的有效负载：

http: //176.124.32[ .]84/mipskiller

http: //145.239.54[ .]169/mipskiller

http: //185.180.223[ .]48/mipskiller

攻击者再次利用其访问权限使该成员成为针对其他公司的DDoS攻击的一部分。

5月24日15时59分（第 19 次攻击）

另一名成员遭到袭击。这里尝试了一些新的有效负载：

http://205.147.101[.]170:82/fuckjewishpeople.mips

http: //45.89.106[ .]147:8080/mips

http: //45.89.106[ .]147:8080/mpsl

http: //45.128.232[ .]143/bins/paraiso.mips

http://45.128.232 [ .]143/bins/libcurl1337.mips

这次，通过TCP协议在端口56999上与地址185.44.81[.]147处的命令和控制服务器进行通信。这是已知的作为Mirai Moobot僵尸网络一部分的服务器。

5月24日19时02分

SektorCERT观察到通过TCP协议在端口10049上流向217.57.80[.]18的流量。该流量由一个1340字节的网络数据包组成，并且没有返回任何响应。该IP地址以前属于Sandworm组织。

5月25日01时22分（第20次攻击）

一名新成员发起攻击。这一次，攻击者通过TCP协议向端口20600上的另一个可疑Sandworm服务器（70.62.153[.]174）发送单个数据包。同样，它是一个 1340 字节的数据包。

5月25日7时55分（第21次攻击）

另一名成员遭到袭击。这里使用了许多有效负载，并且其中许多有效负载被尝试多次检索。不同的有效负载是：

http: //145.239.54[ .]169/mipskiller

http://205.147.101[.]170:82/fuckjewishpeople.mips

http: //45.128.232[ .]143/bins/libcurl1337.mips

http: //45.128.232[ .]143/bins/paraiso.mips

http: //45.89.106[ .]147:8080/mips

http: //45.89.106[ .]147:8080/mpsl

同样，命令和控制通信是通过 TCP 协议在端口56999上与185.44.81[.]147建立的，攻击者再次利用成员的基础设施对他方开展攻击。

5月25日8时22分（第22次攻击）

另一针对已遭渗透的成员的攻击，使用了单一有效负载：

http: //91.235.234[ .]251/proxy1

除此之外，这次袭击与当天7时55分的袭击非常相似。

5月25日11时45分

受影响的成员5月24日01时22分报告称，他们已经失去了对三个远程位置的所有可见性，并且防火墙随后完全关闭。

5月25日12时

鉴于Sandworm可能参与其中以及对丹麦关键基础设施运行造成的具体后果，SektorCERT于12时联系了警方的国家网络犯罪中心 (NC3) 和网络安全中心。与此同时，SektorCERT向该成员派遣了分析师，以收集尽可能多的信息。

5月25日16时01分

有关新攻击的信息已在SektorForum上分享，SektorCERT再次呼吁修补防火墙。

5月26日10时07分

SektorCERT在SektorForum上向当局通报了这些攻击和相关建议。

5月30日

美国网络安全和基础设施安全局（CISA）选择将Zyxel的这些漏洞列入攻击者积极利用的漏洞列表中。发生这种情况是因为据观察，攻击者现在已经开发了所谓的“漏洞代码”，使得攻击成为可能，并且多个攻击组织正在攻击仍然易受攻击的公司。

事实上，漏洞代码现已公开，这意味着任何攻击者现在都可以获取该代码并直接使用它。结果是针对丹麦关键基础设施的攻击尝试呈爆炸式增长，尤其是来自波兰和乌克兰IP地址的攻击。SektorCERT 发现成员每天遭受约200000次针对CVE-2023-28771的攻击尝试。火力密集发射——也针对防火墙不易受到攻击的成员。

5月31日8时52分

SektorCERT在SektorForum上通报了此次攻击事件。

5月31日13时

SektorCERT每月与成员举行一次电话会议，会上重复了这些建议。

6月2日

Zyxel公司发出警告，称针对使用Zyxel防火墙的公司正在遭受活跃的攻击，并建议安装最新补丁。

“

整体攻击的网络杀伤链

网络杀伤链是一个国际标准，用于描述成功实施网络攻击所需的步骤。网络攻击可能经历的七个阶段。报告中描述的总体攻击的网络杀伤链如下：

1、侦察：不知道攻击者如何获得必要的信息，但可以确定SektorCERT的300名成员均成为目标。

2、武器化：根据对漏洞的了解，攻击者开发了可以在易受攻击的 Zyxel 设备上执行的所谓漏洞利用代码。

3、投送：在许多情况下，一种特殊格式的网络数据包在端口 500 上发送到防火墙的 VPN 服务。

4、利用：网络数据包包含防火墙联系攻击者服务器并执行附加代码的指令。

5、安装：从服务器上，各种有效负载被安装在现已受损的防火墙上，这确保了攻击者能够控制防火墙。

6、命令和控制：除此之外，这些有效负载确保通过所谓的命令与控制通道与攻击者建立联系。

7、行动：除一种情况外，在所有情况下，成员仍然可以使用防火墙。因此，并不容易发现攻击者将防火墙用于其他目的，这就是攻击者的访问得以维持的原因。

附：

1、失陷指标

2、漏洞

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。