セキュリティ研究者によると、彼らは親ロシア派のサイバー犯罪者たちを偽の重要インフラ組織に誘導することに成功し、そのグループは後に自分たちのTelegramグループを通じて、それが実際の攻撃であったと主張したという。
Forescoutは、短命だったTwoNetハクティビストグループが、研究者によるハニーポットのひとつに引っかかったと発表した。このハニーポットは、遠隔攻撃者から見ると水処理施設に見えるように設計されていた。
侵入はTwoNetにとって恥ずかしい自爆となり、その後メッセージングやSNSアプリ上で自慢していたが、Forescoutの警告は非常に現実的だ。今回は攻撃が無害だったものの、実際の現場であれば、そうはいかなかっただろう。
攻撃者たちは26時間以内に、自分たちが重要インフラ組織だと思い込んだ場所に侵入し、主要なシステムを改ざん、認証画面の改ざんやアラーム・ログの無効化を行った。
TwoNetは最初、ハニーポットのヒューマンマシンインターフェース(HMI)でデフォルトの認証情報を悪用することで偽の水処理施設にアクセスし、システムのデータベースを列挙し、永続化を確立した。
その後、脆弱性(CVE-2021-26829、CVSS 5.4)を悪用し、HMIのログイン画面を改ざん、さらにリアルタイム更新の無効化など、破壊的なプロセスを実行した。
TwoNetは今年1月に初めて現れ、主にMegaMedusa Machineマルウェアを使ったDDoS攻撃に注力していたとIntel471は述べている。
そのTelegramチャンネルは3月に閉鎖され、グループは9月14日まで姿を見せなかったが、その際に新たなTelegramチャンネルを立ち上げ、架空の水処理施設への攻撃について投稿した。しかしTwoNetの再登場も短命で、先月末には再び主要な通信チャンネルを閉鎖した。
グループが再び姿を消す前、自らを年初のほぼDDoS専業グループから、フルサービスのサイバー犯罪クルーとして売り込んでいた。
Forescoutによると、TwoNetは今後も運用技術組織や産業制御システムを標的にし、ドキシングや脅迫も検討すると約束していた。
また、アクセスブローカーサービスやランサムウェアアフィリエイトプログラムへの参加枠も提供していた。Forescoutによれば、参加費830ドルと身代金支払いの50%という条件は通常より高額であり、TwoNetが大量のリクルートに自信がなかったか、最初から詐欺だった可能性を示唆している。
得られた教訓
このシナリオは、守る側が悪党たちを出し抜いた愉快な話として語り継がれるだろうが、攻撃の分析はすべてのOT組織にとって、セキュリティの手を抜くリスクを示すものとなるだろう。
研究者たちは、イランのCyberAv3ngersグループの初期の進化を例に挙げ、純粋なDDoSからより破壊的な活動に移行するグループが、依然として深刻な被害をもたらす可能性があると指摘している。
米国の重要インフラ組織、特に複数の水処理施設に対する攻撃が、ここ数年IRGC関連のCyberAv3ngersによって行われており、CISAなどがその手口について様々な警告を発している。
Forescoutは、こうしたグループは「実際の事件と誇張を混ぜ合わせる」ことで知られているため、主張を鵜呑みにせず懐疑的に扱うことが重要だが、念のためシステムの監視とアラートのトリアージは徹底すべきだと述べている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/10/russia_hacktivists_honeytrap/
