'Grootste cyberaanval' op Deense vitale infrastructuur raakte 22 energiebedrijven
Eerder dit jaar heeft de 'grootste cyberaanval' ooit op de Deense vitale infrastructuur plaatsgevonden, waarbij 22 energiebedrijven via kwetsbaarheden in firewalls van fabrikant Zyxel werden gecompromitteerd. Dat stelt SektorCERT, het cybersecuritycentrum voor de Deense vitale sectoren. Het is een non-profitorganisatie die eigendom is van en gefinancierd wordt door Deense bedrijven binnen de vitale infrastructuur.
De eerste aanvallen vonden plaats op 11 mei van dit jaar, waarbij de aanvallers misbruik maakten van een kritieke kwetsbaarheid in Zyxel-firewalls, aangeduid als CVE-2023-28771. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand kwetsbare systemen overnemen. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zyxel had op 25 april beveiligingsupdates voor het probleem uitgebracht.
Vanwege aanvallen die in andere landen waren waargenomen adviseerde SektorCERT vitale bedrijven om de kwetsbaarheid te patchen. Meerdere organisaties lieten dit echter na en konden daardoor op 11 mei worden gecompromitteerd. Elf energiebedrijven werden meteen gecompromitteerd. Bij vijf andere bleek de gebruikte exploit voor de één of andere reden niet te werken. Bij de aanvallen werden apparaatconfiguraties en gebruikersnamen en wachtwoorden gestolen. Volgens SektorCERT waren er geen andere gevolgen en waren alle netwerken dezelfde dag weer beveiligd.
Op 22 mei vond de tweede aanvalsgolf plaats, waarbij de aanvallers twee andere kwetsbaarheden in Zyxel-firewalls gebruikten (CVE-2023-33009 en CVE-2023-33010). Het ging hier om zerodays, aangezien erop het moment van de aanvallen nog geen beveiligingsupdates voor beschikbaar waren. Zyxel kwam op 24 mei met patches voor de aangevallen kwetsbaarheden. Via beide beveiligingslekken is het mogelijk om Zyxel-firewalls op afstand over te nemen en daarvandaan verdere aanvallen uit te voeren.
Updates
SektorCERT heeft een rapport over de aanvallen uitgebracht en stelt dat de eerste aanvalsgolf mogelijk was omdat bedrijven hadden nagelaten de updates te installeren (pdf). Sommige energiebedrijven dachten dat, omdat het een nieuwe firewall betrof, die de laatste software draaide. Andere bedrijven dachten dat hun leverancier de updates installeerde. Weer andere energiebedrijven hadden opzettelijk ervoor gekozen geen updates te laten installeren, aangezien hun it-leverancier voor de installatie kosten in rekening bracht. De updates zelf zijn gratis.
Weer andere energiebedrijven hadden geen idee dat ze de Zyxel-firewalls in hun netwerk hadden staan, omdat hun leverancier hen dit niet had verteld of dat er geen overzicht van de aanwezige netwerkapparatuur was. Hierdoor hadden de aanvallers weken de tijd om de bedrijven aan te vallen, ook al waren die opgeroepen om de updates te installeren, zo stelt SektorCERT.
Systemische kwetsbaarheden
"Denemarken heeft een sterk gedecentraliseerd energiesysteem met veel kleinere exploitanten. Vaak zal een aanval op één van deze operators dus niet maatschappelijk kritisch zijn. We maken ons al lange tijd zorgen over ‘systemische kwetsbaarheden’. Met andere woorden, een situatie waarin dezelfde kwetsbaarheid in veel bedrijven bestaat en dus een potentieel kritieke situatie voor de samenleving creëert als de kwetsbaarheid door alle bedrijven heen wordt uitgebuit", zegt Soren Maigaard-Tobiasen van SektorCERT. "Dat is precies wat we hier zagen gebeuren. En het is iets waar wij als samenleving ons waarschijnlijk meer op zouden moeten concentreren, omdat de gevolgen groot kunnen zijn."
Dat werd twintig jaar geleden al vertrutting genoemd.
Burgers en kleintjes tegen het licht houden om eigen onvermogen in opsporing en vervolging te maskeren. Terwijl dus zomaar het licht in heel de stad uit kan gaan. Of in het ziekenhuis waar je eindelijk mocht komen.
Verkopen en het geld over de balk gooien cq. uit geven aan bodemloze putten is het motto hier. Het zijn tenslotte maar burgers.
En onze Digitale identiteit met alles wat ze er aan gaan hangen centraal opslaan
En dan gaan we feest vieren
:
hackerdehackerdehack
voor de cybercrimineel is dit het lekkerste gebak
hahahaha
Dat werd twintig jaar geleden al vertrutting genoemd.
Burgers en kleintjes tegen het licht houden om eigen onvermogen in opsporing en vervolging te maskeren. Terwijl dus zomaar het licht in heel de stad uit kan gaan. Of in het ziekenhuis waar je eindelijk mocht komen.
Waar wordt dit "onvermogen" voorgewend om burgers te kunnen onderwerpen aan een micro datasurveillancesysteem ("om overbelasting van het electriciteitsnet te voorkomen moeten wij precies van u weten op welke momenten u energie van ons afneemt of teruglevert")? Oftewel, hoe vaak moet de stroom uitvallen om burgers een gevoel van urgentie te bezorgen?
Hoe en waar precies wordt op de allerhoogste niveaus van maatschappelijke macht "onvermogen" in stand gehouden om particularistische belangen te bedienen?
Gegeven de ondoorzichtige situatie waarop in de EU inhoudelijke besluiten worden ontworpen (en aangenomen).
Gegeven de in bureaucratieën vormgegeven usance om verantwoordelijkheid te eroderen en te vervangen door formele verantwoordelijkheid op papier (die altijd spic&span in orde is).
Gegeven de toenemende top down verbureaucratisering van de gehele samenleving.
Oftewel, inhoeverre is "onvermogen" gecamoufleerde onwil?
Het antwoord op dergelijke vragen is volgens mij het best bewaarde 'top secret' geheim aller tijden (en gaat terug tot op de 'backbone' van de maatschappelijke structuren, zoals de manier waarop het eigensomsrecht geregeld is).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.