Пророссийская хакерская группировка TwoNet менее чем за год переключилась с организации распределенных атак типа «отказ в обслуживании» (DDoS) на атаки на критически важную инфраструктуру.
Недавно злоумышленник заявил об атаке на водоочистное сооружение, которая оказалась реальной системой-приманкой, созданной исследователями угроз специально для наблюдения за перемещениями противников.
Взлом объекта-обманки произошел в сентябре и показал, что злоумышленник перешел от первоначального доступа к подрывным действиям примерно за 26 часов.
Decoy plant, но реальная угроза
Исследователи из Forescout, компании, предоставляющей решения по кибербезопасности для корпоративных ИТ-сетей и промышленных сетей, отслеживающие активность TwoNet на поддельной станции очистки воды, заметили, что хакеры попытались использовать учетные данные по умолчанию и получили первоначальный доступ в 8:22 утра.
В первый день группа хакеров попыталась перечислить базы данных системы; во второй попытке им это удалось, после использования правильного набора SQL-запросов для системы.
Злоумышленник создал новую учетную запись пользователя под названием Barlati и объявил о своем вторжении, эксплуатируя старую сохраненную уязвимость межсайтового скриптинга (XSS), известную как CVE-2021-26829.
Они воспользовались уязвимостью безопасности, чтобы вызвать всплывающее предупреждение на человеко-машинном интерфейсе (HMI) с сообщением «Взломан Барлати».
Однако они предприняли более разрушительные действия, чтобы нарушить процессы и отключить журналы регистрации и сигналы тревоги.
Исследователи Forescout утверждают, что TwoNet, не подозревая о взломе ложной системы, отключила обновления в реальном времени, удалив подключенные программируемые логические контроллеры (ПЛК) из списка источников данных, и изменила уставки ПЛК в HMI.
«Злоумышленник не пытался повысить привилегии или использовать уязвимость базового хоста, сосредоточившись исключительно на уровне веб-приложений HMI», —
На следующий день в 11:19 исследователи Forescout зафиксировали последний вход злоумышленника.
Хотя TwoNet изначально начиналась как еще одна пророссийская хакерская группировка, сосредоточенная на проведении DDoS-атак против организаций, демонстрирующих поддержку Украины, банда, по-видимому, занимается различной кибердеятельностью.
На Telegram-канале злоумышленника Forescout обнаружил, что TwoNet пыталась атаковать интерфейсы HMI или SCADA организаций критической инфраструктуры во «вражеских странах».
Банда также опубликовала личные данные сотрудников разведки и полиции, коммерческие предложения услуг по борьбе с киберпреступностью, такие как программы-вымогатели как услуга (RaaS), услуги хакеров по найму или первоначальный доступ к системам SCADA в Польше.
«Эта модель отражает действия других групп, которые перешли от «традиционных» DDoS-атак и дефейса к операциям OT/ICS», — говорят исследователи Forescout.
Чтобы снизить риск взлома, Forescout рекомендует организациям в секторе критической инфраструктуры убедиться, что их системы имеют надежную аутентификацию и не доступны из публичной сети.
Правильная сегментация производственной сети в сочетании со списками контроля доступа на основе IP-адресов для доступа к административному интерфейсу может сдержать злоумышленников, если они проникнут в корпоративную сеть.
Forescout также рекомендует использовать функцию обнаружения на основе протокола, которая оповещает о попытках эксплуатации и изменениях в HMI.
