プロローグ:ハクティビスト集団TwoNetの進化
親ロシア派のハクティビスト集団「TwoNet」が、わずか1年足らずで分散型サービス拒否(DDoS)攻撃から重要インフラへの標的型攻撃へと戦術を転換しました。最近、この脅威アクターは水道処理施設への攻撃を主張しましたが、それは脅威研究者が敵対者の動きを観察するために特別に設置した、現実的なハニーポットシステムであることが判明しました。
このおとり施設への侵害は9月に発生し、脅威アクターが初期アクセスから破壊的行動まで約26時間で移行したことが明らかになりました。
おとり施設への侵入詳細
企業ITおよび産業ネットワーク向けのサイバーセキュリティソリューションを提供するForescoutの研究者たちは、偽の水道処理プラントでTwoNetの活動を監視していました。彼らは、ハッカーがデフォルトの認証情報を試行し、午前8時22分に初期アクセスを獲得したことを確認しました。初日、ハクティビストグループはシステム上のデータベースを列挙しようと試み、システムに適切なSQLクエリを使用した2回目の試行で成功しました。
攻撃者は「Barlati」という新しいユーザーアカウントを作成し、古い保存型クロスサイトスクリプティング(XSS)脆弱性「CVE-2021-26829」を悪用して侵入を公表しました。彼らはこのセキュリティ問題を悪用し、ヒューマンマシンインターフェース(HMI)に「Hacked by Barlati」というメッセージを表示するポップアップアラートをトリガーしました。しかし、彼らはプロセスを妨害し、ログとアラームを無効にするという、より破壊的な行動にも及びました。
Forescoutの研究者によると、TwoNetはデコイシステムを侵害していることに気づかず、データソースリストから接続されたプログラマブルロジックコントローラー(PLC)を削除することでリアルタイム更新を無効にし、HMIのPLC設定値を変更しました。Forescoutは「攻撃者は基盤となるホストの特権昇格や悪用を試みず、HMIのWebアプリケーション層に専念した」と述べています。
翌日の午前11時19分、Forescoutの研究者は侵入者の最終ログインを記録しました。
TwoNetの活動範囲拡大
TwoNetは当初、ウクライナを支持する団体に対するDDoS攻撃に焦点を当てた別の親ロシア派ハクティビストグループとして活動を開始しましたが、現在では様々なサイバー活動に従事しているようです。攻撃者のTelegramチャンネルで、ForescoutはTwoNetが「敵国」の重要インフラ組織のHMIまたはSCADAインターフェースを標的にしようとしていたことを発見しました。このグループはまた、諜報機関や警察官の個人情報を公開したり、ランサムウェア・アズ・ア・サービス(RaaS)、ハッカー・フォー・ハイヤー、ポーランドのSCADAシステムへの初期アクセスなどのサイバー犯罪サービスの商業的な提供も行っていました。
Forescoutの研究者は、「このパターンは、従来のDDoS/改ざんからOT/ICS運用へと移行した他のグループの動きを反映している」と述べています。
重要インフラ保護のための提言
Forescoutは、侵害のリスクを軽減するために、重要インフラ部門の組織に対し、以下の対策を講じるよう推奨しています。
- システムが強力な認証を備え、公共のWebに公開されていないことを確認する。
- 生産ネットワークを適切にセグメント化する。
- 管理インターフェースへのIPベースのアクセス制御リストを組み合わせることで、脅威アクターが企業ネットワークを侵害した場合でも侵入を防ぐことができる。
- プロトコルを認識し、悪用試行やHMIの変更を警告するプロトコル認識型検出を使用する。