Attaques contre le secteur énergétique danois (SektorCERT)

En mai 2023, des vagues coordonnées d'attaques ont exploité des vulnérabilités des pare-feu Zyxel pour compromettre 22 entreprises énergétiques danoises, forçant certains opérateurs à passer en mode îlotage, dans ce que SektorCERT a qualifié de plus grand incident cyber visant les infrastructures critiques du Danemark à ce jour.

En mai 2023, 22 entreprises du secteur énergétique danois ont été compromises lors de vagues coordonnées d'attaques exploitant des vulnérabilités des pare-feu Zyxel protégeant leurs réseaux. Documentée dans un rapport marquant de novembre 2023 de SektorCERT — le centre de cybersécurité à but non lucratif du secteur des infrastructures critiques danois — la campagne a été décrite comme la plus grande cyberattaque contre les infrastructures critiques du Danemark à ce jour.

La première vague

Le 11 mai 2023, les attaquants ont ciblé 16 organisations énergétiques danoises, exploitant CVE-2023-28771 (CVSS 9.8), une faille critique d'injection de commande système dans les pare-feu ATP, USG FLEX, VPN et ZyWALL/USG de Zyxel. La vulnérabilité permettait à des attaquants non authentifiés d'exécuter des commandes directement sur le pare-feu de périmètre. 11 organisations ont été compromises avec succès, les attaquants lisant les configurations des appareils et les noms d'utilisateur. Le réseau de capteurs sectoriel de SektorCERT a détecté l'activité rapidement, et tous les réseaux affectés ont été sécurisés en fin de journée.

La seconde vague

À partir du 22 mai 2023, une seconde vague, plus sophistiquée, a déployé de nouveaux outils et exploité deux failles zero-day Zyxel — CVE-2023-33009 et CVE-2023-33010 — qui n'ont été corrigées que le 24 mai. Selon SektorCERT, les attaquants de cette phase ont atteint les systèmes de contrôle industriel de plusieurs entreprises. Pour protéger leurs opérations, certains opérateurs se sont délibérément déconnectés du réseau électrique élargi et ont fonctionné en mode îlotage — produisant et distribuant l'électricité localement sans connectivité réseau externe.

Débat sur l'attribution

Le rapport de SektorCERT a soulevé la possibilité d'une implication étatique, notant des recoupements avec une infrastructure associée à Sandworm, l'unité du GRU russe à l'origine d'attaques antérieures contre le réseau électrique ukrainien. Cependant, une analyse de janvier 2024 par Forescout a remis en cause cette conclusion, soutenant que l'activité danoise faisait très probablement partie d'une exploitation opportuniste plus large d'appareils Zyxel exposés à Internet dans le monde entier, plutôt que d'une campagne Sandworm coordonnée unique. L'attribution reste contestée.

Pourquoi c'est important

Le cas SektorCERT est une étude déterminante du risque lié au périmètre des infrastructures critiques. Les pare-feu mêmes déployés pour protéger les opérateurs énergétiques sont devenus la surface d'attaque, et une seule gamme de produits largement déployée a exposé des dizaines de services publics d'un coup. Il a aussi démontré l'utilité d'une défense collective à l'échelle sectorielle : le réseau de capteurs partagé de SektorCERT a donné au Danemark une visibilité inhabituelle, permettant une détection rapide et un confinement coordonné qui ont limité l'impact physique. L'épisode a accéléré l'examen européen de la sécurité des équipements de périphérie et de la discipline de correction requise pour les pare-feu et VPN protégeant les services essentiels.

Chronologie

11 mai 2023

Première vague : les attaquants exploitent la faille de pare-feu Zyxel CVE-2023-28771 contre 16 organisations énergétiques danoises, en compromettant 11 ; tous les réseaux sont sécurisés en fin de journée.

22 mai 2023

La seconde vague commence, déployant de nouveaux outils et exploitant les failles zero-day Zyxel CVE-2023-33009 et CVE-2023-33010.

24 mai 2023

Zyxel corrige les deux vulnérabilités zero-day utilisées dans la seconde vague.

25 mai 2023

Une activité d'exploitation continue est observée alors que certains opérateurs passent en mode îlotage pour protéger leurs opérations.

12 novembre 2023

SektorCERT publie son rapport qualifiant la campagne de plus grande cyberattaque contre les infrastructures critiques du Danemark à ce jour.

1 janvier 2024

L'analyse de Forescout remet en cause l'attribution, estimant que l'activité faisait probablement partie d'une exploitation opportuniste plus large de Zyxel plutôt que d'une opération unique de Sandworm.

Sources

securityweek.comhttps://www.securityweek.com/22-energy-firms-hacked-in-largest-coordinated-attack-on-denmarks-critical-infrastructure/

forescout.comhttps://www.forescout.com/blog/analysis-of-energy-sector-cyberattacks-in-denmark-and-ukraine/

cyberscoop.comhttps://cyberscoop.com/sandworm-sektorcert-critical-infrastructure-zyxel/

thehackernews.comhttps://thehackernews.com/2024/01/new-findings-challenge-attribution-in.html

conscia.comhttps://conscia.com/blog/deep-dive-into-the-may-2023-cyber-attack-on-danish-energy-infrastructure/

Incidents liés

Exploitation de vulnérabilitéRésolu8 août 2023

Violation de données de la Commission électorale britannique

Des pirates liés à l'État chinois ont exploité des failles ProxyShell non corrigées de Microsoft Exchange pour rester indétectés plus d'un an dans les systèmes de la Commission électorale britannique, accédant aux données du registre électoral d'environ 40 millions d'électeurs.

Victim: UK Electoral Commission
Records: 40.0M

Exploitation de vulnérabilitéRésolu24 juillet 2023

Violation du gouvernement norvégien via une faille zero-day Ivanti

Des attaquants ont exploité une faille zero-day d'Ivanti Endpoint Manager Mobile (CVE-2023-35078, CVSS 10.0) pour compromettre une plateforme TIC partagée par 12 ministères norvégiens, l'exploitation remontant à au moins avril 2023.

Victim: Gouvernement norvégien (12 ministères)

Exploitation de vulnérabilitéEn cours10 juin 2026

Faille de gravité maximale dans Ivanti Sentry exploitée pour exécuter du code en root (CVE-2026-10520)

Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.

Victim: Ivanti Sentry

Exploitation de vulnérabilitéContenu9 juin 2026

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victim: ServiceNow