- TwoNetがデフォルトの認証情報を使い、偽のオランダ水道施設に侵入
- 標的は攻撃者の行動を研究するためのForescoutのハニーポットだった
- ハッカーは重要インフラを標的にすることが増えており、多くは身代金目的
比較的新しい親ロシア派ハクティビストグループ「TwoNet」は、最近オランダの水道施設組織に侵入しました。彼らは弱いデフォルトの認証情報を使ってヒューマンマシンインターフェース(HMI)にログインし、脆弱性を悪用してウェブサイトを改ざんしました。
その後、接続されたプログラマブルロジックコントローラー(PLC)をデータソースとして削除し、リアルタイムの更新を無効化し、HMIを通じてPLCの設定値を変更しました。それが終わると、システム設定を変更してログやアラームを無効にしました。重要インフラ組織への攻撃が成功した後、彼らは自分たちのTelegramチャンネルで勝利を宣伝し、信頼性や悪名を高めようとしました。
ここでどんでん返し:オランダの水道施設組織は実在しません。
具体的な行動
ウェブサイトもインフラも本物でした。しかし、これはすべてサイバーセキュリティ研究者であるForescoutによって仕組まれた巧妙な罠で、サイバー犯罪者に自分たちの戦術・技術・手順(TTP)を明かさせるための典型的なハニーポットでした。
Forescoutはしばらく前からこうしたハニーポットを構築しており、これまでにもハッカーがランサムウェアを展開しようとしたのを目撃したと述べています。
昨年は偽の医療クリニックが数人の脅威アクターを捕まえたとされています。しかし、ハッカーが実在しないものへの侵入を公然と自慢したのは今回が初めてです。
「DDoSや改ざんからOT/ICS(運用技術/産業用制御システム)に移行するグループは、しばしば標的を誤認し、ハニーポットに引っかかったり、誇張したりします」と研究者はレポートで説明しています。「それが彼らを無害にするわけではなく、むしろ進むべき方向を示しています。」
水道・下水処理施設、発電所、データセンター、空港などの重要インフラ組織は、サイバー犯罪者による標的がますます増えています。
ほとんどの場合、これらはランサムウェアアクターであり、企業が業務を継続し、再稼働のためのより高いコストを避けるために身代金の支払いを強要できると考えるグループです。
場合によっては、攻撃者が国家の支援を受けており、サイバースパイ活動や、特定の状況で作動するキルスイッチの設置を任されていることもあります。
翻訳元: https://www.techradar.com/pro/security/pro-russian-hackers-tricked-into-attacking-decoy-target
