Informe señala que en mayo Dinamarca registró el mayor ciberataque a su infraestructura crítica en su historia

El documento fue liberado recientemente por el CSIRT de las infraestructura crítica de Dinamarca (SektorCERT) y da cuenta de 22 entidades afectadas.

El Equipo de Respuesta a Incidentes de Seguridad Informática para los sectores de infraestructura crítica de Dinamarca, el SektorCERT, informó que en mayo de 2023 fueron víctimas del mayor ciberataque registrado en su historia, y que llegó a comprometer las redes informáticas de 22 operadores energéticos en ese país.

De acuerdo al informe, los atacantes aprovecharon las vulnerabilidades de día cero en los firewalls Zyxel utilizados por varios de los operadores de infraestructuras críticas danesa.

“Los atacantes sabían de antemano a quién iban a atacar y acertaron en todo momento. Dinamarca está constantemente bajo ataque. Pero es inusual que veamos tantos ataques simultáneos y exitosos contra la infraestructura crítica”, señalaron desde el SektorCERT.

En un informe de 32 páginas que se hizo público durante esta semana y que ha sido clasificado con TLP Blanco, siguiendo el protocolo de comunicaciones del organismo de ciberseguridad, indica que el éxito de los atacantes se debió a que la mayoría de las organizaciones involucradas no actualizaron sus firewalls.

En el documento, el SektorCERT afirma que varias empresas habían optado por no recibir la actualización de software porque había un cargo por la instalación, y algunas empresas asumieron erróneamente que los firewalls Zyxel, relativamente nuevos, ya tenían las últimas actualizaciones, mientras que otras creyeron erróneamente que el proveedor era responsable de implementar las actualizaciones.

Se especula que el ciberataque, que fue calificado como “notable” por su meticulosa planificación, tuvo como finalidad recopilar información, ya que los cibercriminales tuvieron la chance de dejar a cerca de 100 mil personas sin electricidad y calefacción en caso de cortar el suministro de energía de las infraestructuras a las que tuvieron acceso y control.

Según el informe, 11 de las 22 empresas atacadas fueron comprometidos de inmediato, y la acción simultánea impidió que las entidades afectadas pudieran advertir oportunamente a otras sobre el ciberataque.

Aunque no existe claridad sobre quien específicamente estaba detrás del ataque informático, si se pudo establecer que las redes fueron atacadas desde servidores asociados con entidades rusas. Todo indica que se trataría de una entidad conocida como Unidad 74455 del servicio de inteligencia militar ruso GRU, o Sandworm.