親ロシア派ハクティビストが水道事業者ホニーポットへの攻撃を「主張」

ロシア寄りのハクティビスト集団が、水処理事業者に偽装したホニーポットを標的にするよう誘導されていたことが明らかになったと、サイバーセキュリティ企業Forescoutが発表した。

この集団「TwoNet」は、実際のハッキングを行ったと信じ込み、水処理事業者への攻撃の犯行声明をTelegramチャンネルで出した。

同グループは、改ざん、プロセス妨害、操作、回避など、さまざまな目的でホニーポットのヒューマン・マシン・インターフェース（HMI）にログインした。

TwoNetは初期侵入にデフォルトの認証情報を使用し、産業用ホニーポットの弱点を悪用してこれらの活動を実行した。

研究者らは、この攻撃はDDoSや改ざんから、運用技術（OT）や産業制御システム（ICS）の運用を標的にする方向へ移行した他のハクティビスト集団が用いる戦術を反映していると述べた。

ホニーポットは、攻撃者をおびき寄せて手口を捕捉するため、意図的にインターネットへ露出させたデコイ（おとり）システムである。

Forescoutは、同社のホニーポットで発生した攻撃について、脅威アクターが公に犯行声明を出したのは今回が初めてだと指摘した。

TwoNetハクティビストグループ

TwoNetは2025年1月にTelegramチャンネル上で初めて確認され、当初はMegaMedusa Machineマルウェアを利用したDDoS攻撃に注力していた。

9月には、活動を主張するための新たなTelegramチャンネルを開設し、別アカウントで招待リンクをローテーションさせて削除（テイクダウン）への耐性を高めていた。

このチャンネルのメッセージから、同グループが純粋なDDoSから、OT/ICSを標的に含むより広範な活動の組み合わせへ移行したことが示唆される。

関連グループ「CyberTroops」に投稿されたメッセージでは、TwoNetが9月30日で活動を停止すると述べられていた。

研究者らは、この動きは同盟の形成やリブランドが定期的に行われる、より広範なハクティビスト・エコシステムにおけるトレンドの一部だと述べた。

Forescoutは「これは、チャンネルやグループが短命である一方、運営者は通常、リブランド、同盟の変更、他グループへの参加、新たな技術の習得、別組織の標的化などによって存続するという、このエコシステムの儚さを浮き彫りにしている」と指摘した。

Forescoutのホニーポットに対する攻撃は、TwoNetが9月に新しいTelegramチャンネルを立ち上げた直後に発生した。

侵入はドイツのホスティングプロバイダーに関連付けられたIPアドレスから行われた。当該アドレスに、事前の悪意ある活動は紐づいていなかった。

攻撃者はLinuxオペレーティングシステム上でFirefoxブラウザを使用していたようだ。最初に、デフォルトの認証情報admin/adminでホニーポットのHMIにログインした。

その後、脅威アクターはデータベースの列挙を試み、2回目のクエリ群でスキーマ情報の抽出に成功した。研究者らは、これらのクエリがHMIのWebインターフェースを通じて直接入力されたとみている。

次に攻撃者は新しいユーザーアカウント「BARLATI」を作成し、約20時間にわたりHMIへのログインに使用した。その間に、4つの行為を実行した。

改ざん：脆弱性CVE-2021-26829を悪用し、HMIログインページの説明文を次の内容に変更： [<]script>alert(“HACKED BY BARLATI, FUCK”)</script>
プロセス妨害：データソースとして接続されているPLCを削除し、リアルタイム更新を無効化
操作：HMI経由でPLCの設定値（セットポイント）を変更
回避：ログとアラームを無効化するためにシステム設定を変更

研究者らは、10月9日に公開されたForescoutのレポートで「攻撃者は権限昇格や基盤ホストの悪用を試みず、HMIのWebアプリケーション層のみに専念していた」と記している。

研究者らは、TwoNetによるホニーポット攻撃で用いられた戦術を緩和するため、セキュリティチーム向けに複数の推奨事項を示した。主な内容は次のとおり。

また、この事例は脅威アクターの主張を慎重に扱うべきことを示していると付け加えた。

研究者らは「ハクティビストのチャンネルは、実際のインシデントと誇張が混在している。それでも監視には価値がある。意図、ツール、標的選定、新たな同盟関係が把握できる」と助言した。