「TwoNet」と呼ばれる親ロシア派のハクティビストグループは、1年足らずで分散型サービス拒否(DDoS)攻撃から重要インフラの標的へと活動を転換しました。
最近、この脅威アクターは水処理施設への攻撃を主張しましたが、実際には脅威リサーチャーが敵対者の動きを観察するために設置したリアルなハニーポットシステムでした。
このデコイ施設での侵害は9月に発生し、脅威アクターが初期アクセスから破壊的行動に移るまで約26時間だったことが明らかになりました。
デコイ工場だが脅威は現実
企業ITおよび産業ネットワーク向けサイバーセキュリティソリューションを提供するForescout社の研究者は、偽の水処理工場でTwoNetの活動を監視しており、ハッカーがデフォルトの認証情報を試し、午前8時22分に初期アクセスを得たことに気付きました。
初日には、ハクティビストグループはシステム上のデータベースの列挙を試み、2回目の試行でシステムに適したSQLクエリを使用して成功しました。
攻撃者は「Barlati」と呼ばれる新しいユーザーアカウントを作成し、CVE-2021-26829として追跡されている古い保存型クロスサイトスクリプティング(XSS)脆弱性を悪用して侵入をアナウンスしました。
彼らはこのセキュリティ問題を利用し、ヒューマンマシンインターフェース(HMI)上に「Hacked by Barlati」というメッセージのポップアップアラートを表示させました。
しかし、彼らはさらにプロセスの妨害やログ・アラームの無効化といった、より破壊的な行動にも及びました。
Forescoutの研究者によると、TwoNetはデコイシステムへの侵入に気付かず、データソースリストから接続されたプログラマブルロジックコントローラー(PLC)を削除してリアルタイム更新を無効化し、HMI内のPLCセットポイントを変更しました。
「攻撃者は権限昇格や基盤となるホストの悪用は試みず、HMIのウェブアプリケーション層のみに集中していました」 – Forescout
翌日午前11時19分、Forescoutの研究者は侵入者の最後のログインを記録しました。
TwoNetは当初、ウクライナ支援を示す組織へのDDoS攻撃を行う他の親ロシア派ハクティビストグループの一つとして始まりましたが、現在はさまざまなサイバー活動に従事しているようです。
攻撃者のTelegramチャンネルで、ForescoutはTwoNetが「敵国」の重要インフラ組織のHMIやSCADAインターフェースを標的にしようとしていたことを発見しました。
このグループはまた、情報機関や警察関係者の個人情報、ランサムウェア・アズ・ア・サービス(RaaS)などのサイバー犯罪サービス、ハッカーの雇用、ポーランドのSCADAシステムへの初期アクセスの商業提供も公開していました。
「このパターンは、従来型のDDoS/デフェイスメントからOT/ICSオペレーションへと移行した他のグループとも一致します」とForescoutの研究者は述べています。
侵害リスクを低減するために、Forescoutは重要インフラ分野の組織に対し、システムに強力な認証を導入し、パブリックウェブに公開しないよう推奨しています。
生産ネットワークを適切にセグメント化し、管理インターフェースへのアクセスにIPベースのアクセス制御リストを組み合わせることで、企業ネットワークが侵害された場合でも脅威アクターの侵入を防ぐことができます。
Forescoutはまた、HMIの変更や悪用の試みを検知するプロトコル認識型の検出システムの利用も推奨しています。
