Le ipotesi iniziali attribuivano a Sandworm un attacco alla Danimarca, ma nuovi studi ne svelano l’erroneità.
La narrazione di una sequenza di incursioni informatiche che hanno preso di mira l’infrastruttura critica danese è ora oggetto di revisione. Una disamina pubblicata dall’entità di cyber security industriale Forescout ha portato nuova luce sull’identità degli aggressori, precedentemente attribuita al gruppo di hacker russi noto come Sandworm.
Nel Novembre del 2023, all’indomani degli attacchi, SektorCERT, organizzazione danese non profit di centri di sicurezza informatica per infrastrutture critiche, aveva fatto risuonare il campanello d’allarme. Qualcosa come 22 aziende energetiche erano state colpite da due diverse ondate di attacchi, una delle quali aveva sfruttato una vulnerabilità in un prodotto firewall di Zyxel, utilizzando un indirizzo IP collegato a Sandworm, mentre la seconda impiegava infrastrutture associate al botnet Marai. Sandworm è meglio conosciuto per il suo attacco alla rete elettrica ucraina, ma i recenti studi indicano l’assenza di legami diretti con la seconda campagna di attacco in Danimarca.
La supposizione iniziale che le due campagne fossero correlate è stata messa in discussione. L’ipotesi corrente suggerisce che i due episodi di attacco siano stati condotti da gruppi diversi, con metodologie distinte e forse senza alcuna connessione tra loro, né coordinazione né consapevolezza reciproca.
Secondo Forescout, i dati rivelerebbero che il primo e il secondo assalto sarebbero non correlati. L’IP associato sembrerebbe appartenuto in precedenza a Cyclops Blink, una rete botnet controllata da Sandworm poi smantellata. Questo stesso indirizzo IP è stato in seguito associato alla variante Katana di Mirai botnet e pare fosse utilizzato da un dispositivo di storage di rete Synology, il che farebbe presupporre la sua inclusione in una vasta botnet IoT di dispositivi infetti.
La realtà emersa pone l’enfasi su un’unica incursione mirata di hacker non ancora identificati e un massiccio sfruttamento fortuito di firewall non aggiornati. Quest’ultimo punto accende i riflettori sull’importanza di garantire l’attualità della sicurezza dei firewall, soprattutto nell’ambito delle infrastrutture critiche.
La situazione delineata insiste sulla criticità nell’identificazione precisa dell’origine degli attacchi cyber, un compito complesso ma essenziale per una risposta adeguata e tempestiva in termini di sicurezza informatica. Il contesto geopolitico attuale, caratterizzato da tensioni e aspettative in ambito cyber, richiede un’analisi puntuale e una capacità di discernimento affinata.
Dunque, mentre la natura imprevedibile delle minacce informatiche persiste, il caso danese riafferma l’importanza di mantenere in allerta i sistemi di difesa, allo stesso modo in cui l’analisi approfondita aiuta a comprendere meglio le meccaniche dietro agli attacchi, perfezionando le strategie di sicurezza e mitigazione degli rischi.