Eind december werden verschillende onderdelen van de Poolse energiesector, waaronder wind- en zonneparken en een warmtekrachtcentrale, het doelwit van aanvallen. De aanvallers wisten binnen te komen via Fortinet FortiGate-firewalls en standaard inloggegevens, zo laat het Poolse Computer Emergency Response Team (CERT) in een analyse weten. De aanvallers zouden het beschadigen van systemen als doel hebben gehad, aldus het Poolse CERT, dat onderzoek naar de aanvallen deed.

De meer dan dertig aangevallen wind- en zonneparken maakten allemaal gebruik van Fortinet Fortigate-firewalls. De apparaten fungeerden zowel als firewall als vpn-toegang. Van alle firewalls was de vpn-interface toegankelijk vanaf het internet en konden accounts zonder het gebruik van multifactorauthenticatie inloggen. Hoe de aanvallers toegang tot de apparaten wisten te krijgen is niet bekend, maar uit onderzoek bleek dat sommige van FortiGate-firewalls in het verleden enige tijd kwetsbaar waren geweest. Het ging onder andere om beveiligingslekken die remote code execution mogelijk maken.

De onderzoekers merken op dat het gemeengoed is in de energiesector om dezelfde accounts en wachtwoorden voor meerdere locaties te gebruiken. Eén gecompromitteerd account kan een aanvaller zodoende toegang tot meerdere faciliteiten geven. Het onderzoek werd mede belemmerd door het ontbreken van volledige logbestanden. De aanvallers voerden bij alle onderzochte FortiGate-firewalls op de dag van de aanval een fabrieksreset uit.

De meeste van de aangevallen wind- en zonneparken maakten voor automatisering en beheer gebruik van Hitachi RTU560-controllers. Deze apparaten waren volgens de onderzoekers vanaf de FortiGate-firewall met een standaard gebruikersnaam en wachtwoord toegankelijk. De aanvallers gebruikten hun toegang om "corrupted firmware" te uploaden en zo de werking van de apparaten te saboteren. De aanvallers wisten ook via hardcoded RDP-inloggegevens, aanwezig in de configuratie van de Fortinet-firewall, toegang tot andere systemen te krijgen.

Hitachi laat in een verklaring weten dat alle aangevallen Hitachi-apparaten achter kwetsbare firewalls zaten, met verouderde firmware draaiden, met standaard inloggegevens waren geconfigureerd en zonder het gebruik van aanbevolen securityfeatures opereerden. "Deze omstandigheden zorgden voor een scenario waarbij de apparaten aan een verhoogd risico waren blootgesteld", aldus de fabrikant (pdf). Verder maakten de apparaten gebruik van Moxa serial device servers. Van deze servers was de webinterface ingeschakeld en ingesteld met standaard inloggegevens. De aanvallers gebruikten deze inloggegevens om de standaard fabrieksinstellingen te herstellen. Volgens de onderzoekers raakte door de aanval de communicatie tussen de energieparken verstoord, maar was er geen impact op de energieproductie.

Naast de energiesector werd ook een productiebedrijf het doelwit van de aanvallers, aldus het Poolse CERT. Bij dit bedrijf wisten de aanvallers toegang te krijgen via een Fortinet "perimeter device". Van dit apparaat was eerder al eens de configuratie gestolen en gepubliceerd op een forum gebruikt door criminelen, aldus de onderzoekers. Bij de operatie werd ook wiper-malware genaamd DynoWiper en ZovWiper ingezet, zo meldt antivirusbedrijf ESET in een analyse. De malware moest geïnfecteerde systemen wissen en onbruikbaar maken. Bij de uitrol van deze malware op de systemen van de warmtekrachtcentrale werd die door de aanwezige Endpoint Detection and Response (EDR) software geblokkeerd, zo laat de analyse verder weten.