Security Affairs 網站消息，丹麥計算機安全事件響應小組（CSIRT）SektorCERT 披露，丹麥關鍵基礎設施在 5 月份遭遇了有史以來最大規模的網絡攻擊。

據悉，威脅攻擊者在 5 月 11 日發起了第一次攻擊活動。經過短暫停頓后，5 月 22 日又開始發動了第二波攻擊活動，當天，SektorCERT 察覺到自身出現安全問題。

SektorCERT 在報告指出，威脅攻擊者利用丹麥關鍵基礎設施運營商使用的 Zyxel 防火墻中的零日漏洞，成功破壞了 22 家能源基礎設施公司（11 家公司立即遭到網絡威脅）。

威脅攻擊者利用漏洞發動網絡攻擊

2023 年 4 月 25 日，Zycel 披露其多個防火墻中存在一個關鍵安全漏洞（CVSS 得分 9.8 ），被追蹤為 CVE-2023-28771。Zyxel 發現安全漏洞問題后，立刻發布了安全更新補丁，并敦促其客戶盡快安裝更新補丁。

據悉，存在安全漏洞原因是 Zyxel ZyWALL/USG 系列固件版本 4.60至 4.73、VPN 系列固件版本 4.6 至5.35、USG FLEX 系列固件版本 46.0 至 5.35 以及 ATP 系列固件版本 4600 至 5.35 中某個錯誤消息處理不當。從 SektorCERT 的報告內容來看，未經身份驗證的遠程攻擊者可以通過向易受攻擊的設備發送特制的數據包，并遠程執行某些操作系統命令來觸發該漏洞。

威脅攻擊者利用漏洞，通過協議 UDP 向端口 500 發送一個特制數據包，并將其發送到易受攻擊的 Zyxel 設備，該數據包被 Zyxel 設備上的互聯網密鑰交換（IKE）數據包解碼器接收，解碼器恰恰存在上述 CVE-2023-28771 漏洞。

最終的結果就是，威脅攻擊者可以在未經身份驗證的情況下，直接在設備上執行具有 root 權限的命令，就是說，只要向設備發送一個數據包，威脅攻擊者就能發起網絡攻擊。此外，從11 家公司立即受到了攻擊的情況來看，網絡攻擊者可能提前獲得了受害公司防火墻的控制權，從而可以訪問防火墻背后的關鍵基礎設施。

SektorCERT 安全專家還指出，在發動網絡攻擊之前，威脅攻擊者可能就已經掌握了受害目標的詳細信息，這些信息很可能是通過未被發現的偵察活動中獲取的。（值得注意的是，目前還沒有關于哪些組織使用了易受攻擊的防火墻的公開信息）

以下是整個攻擊的網絡殺傷鏈：

在 SektorCERT 發布的報告中，專家們指出威脅攻擊者能夠同時攻擊多家公司，避免受影響的基礎設施與同行共享攻擊信息，這種“協調能力”需要計劃和資源，再加上威脅行動者能夠在大規模活動中利用零日漏洞，推測威脅攻擊者可能是一個 APT 組織。

此外，安全專家還推測攻擊活動背后的“黑手“可能是由多個威脅組織組成，其中至少有一個可以歸咎于與俄羅斯有關聯的”沙蟲“組織。