A TwoNet OT rendszereket is támad
A TwoNet nevű oroszbarát hacktivista csoport kevesebb mint egy év alatt a distributed denial-of-service (DDoS) támadásoktól a kritikus infrastruktúrák elleni támadásokig jutott el. A közelmúltban a TwoNet egy víztisztító telep elleni kibertevékenységet vállalt magára, amelyről kiderült, hogy valójában egy fenyegetéskutatók által kifejezetten a kiberszereplők megfigyelésére felállított, valósághű honeypot rendszer volt. A honeypot rendszer elleni támadás szeptemberben történt, amely során a TwoNet körülbelül 26 óra alatt jutott el a kezdeti hozzáféréstől a diszruptív tevékenységig.
A Forescout kutatói észrevették, hogy az első napon 8:22-kor alapértelmezett hitelesítő adatokkal valaki megszerezte a kezdeti hozzáférést. Az első napon a hacktivista csoport megpróbálta enumerálni a rendszer adatbázisait, amit másodjára sikerült is, miután a rendszerhez megfelelő SQL-lekérdezéseket használtak.
A támadó ezután létrehozott egy új felhasználói fiókot Barlati néven, és egy régi, CVE-2021-26829 cross-site-scripting (XSS) sérülékenység kihasználásával egy felugró figyelmeztetést helyeztek el a humán-gép interfészen (HMI), amelyen a „Hacked by Barlati” üzenet jelent meg. Ezután további tevékenységeket hajtottak végre, hogy megzavarják a folyamatokat és letiltsák a naplókat és riasztásokat.
A Forescout kutatói szerint a TwoNet letiltotta a valós idejű frissítéseket azáltal, hogy eltávolította a csatlakoztatott programozható logikai vezérlőket (PLC-ket) az adatforrások listájáról, és megváltoztatta a PLC beállítási értékeit a HMI-ben.
Második nap, 11:19-kor a Forescout kutatói rögzítették a behatoló utolsó bejelentkezését. A csoport ezután a Telegram-csatornáján vállalta a felelősséget egy víztisztító telep kompromittálásáért – hamisan.
A Forescout számos javaslatot tett a kritikus infrastruktúra szektorban működő szervezeteknek, többek között, hogy gondoskodjanak a rendszerek erős hitelesítéséről, és ne tegyék azokat nyilvánosan hozzáférhetővé az interneten. A termelési hálózat megfelelő szegmentálása, kombinálva az adminisztrátori felülethez való hozzáférés IP-alapú hozzáférés-vezérlési listáival, szintén fontos a fenyegetésekkel szembeni védelem érdekében.
