TwoNetと呼ばれる親ロシア派のハクティビスト・グループは、分散型サービス妨害(DDoS)攻撃の開始から1年も経たないうちに、重要インフラを標的にするようになった。
最近、この脅威主体は、敵の動きを観察するために特別に脅威研究者によって設定された現実的なハニーポット・システムであることが判明した水処理施設への攻撃を主張した。
おとり施設での侵害は9月に発生し、脅威行為者が最初のアクセスから破壊的行動まで約26時間で移行したことが明らかになりました。
おとり施設だが脅威は本物
企業のITおよび産業ネットワーク向けにサイバーセキュリティ・ソリューションを提供するForescoutの研究者は、偽の浄水場におけるTwoNetの活動を監視しており、ハッカーがデフォルトの認証情報を試し、午前8時22分に最初のアクセスを獲得したことに気づいた。
初日、ハッカー集団はシステム上のデータベースの列挙を試みたが、システム用の正しいSQLクエリセットを使用した後、2回目の試行で成功した。
攻撃者はBarlatiという新しいユーザー・アカウントを作成し、CVE-2021-26829として追跡されている古い保存型クロスサイト・スクリプティング(XSS)の脆弱性を悪用して侵入を宣言した。
彼らはこのセキュリティ問題を利用して、ヒューマン・マシン・インターフェース(HMI)にポップアップ・アラートを表示し、”Hacked by Barlati “というメッセージを表示した。
しかし、彼らはプロセスを妨害し、ログとアラームを無効にするために、より有害な行為に及んだ。
Forescoutの研究者によると、TwoNetはおとりシステムを破ったことに気づかず、接続されているプログラマブルロジックコントローラ(PLC)をデータソースリストから削除することでリアルタイムアップデートを無効にし、HMIのPLCセットポイントを変更しました。
「攻撃者は、HMI のウェブ・アプリケーション・レイヤーのみに集中し、基盤となるホストの特権昇格や悪用は試みませんでした。
翌日の午前11時19分、Forescoutのリサーチャーは侵入者の最後のログインを記録しました。
TwoNetは当初、ウクライナへの支持を示す団体に対してDDoS攻撃を仕掛けることに焦点を当てた、もう1つの親ロシア派ハクティビスト・グループとして始まったが、この一団は様々なサイバー活動に従事しているようだ。
攻撃者のTelegramチャンネルで、ForescoutはTwoNetが “敵国 “の重要インフラ組織のHMIまたはSCADAインターフェースを標的にしようとしていることを発見した。
このグループはまた、情報機関や警察関係者の個人情報、ランサムウェア・アズ・ア・サービス(RaaS)のようなサイバー犯罪サービスの商用オファー、雇われハッカー、ポーランドのSCADAシステムへの初期アクセスなども公表していた。
このパターンは、”伝統的な “DDoS/破壊工作からOT/ICS作戦に移行した他のグループを反映している」とForescoutの研究者は述べている。
情報漏えいのリスクを減らすために、Forescoutは重要インフラ部門の組織に対し、システムが強固な認証を持ち、一般のウェブに公開されていないことを確認するよう推奨しています。
本番ネットワークを適切にセグメント化し、管理者インターフェイスへのアクセスにIPベースのアクセス制御リストを併用することで、企業ネットワークに侵入した脅威者を寄せ付けないことができる。
Forescoutはまた、悪用の試みとHMIの変更を警告するプロトコルを意識した検出を使用することを推奨します。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments