概要:TwoNetによるOT/ICSシステムへの攻撃
プロロシア系のハクティビスト集団「TwoNet」が、水道処理施設のハニーポットに対し、初の運用技術(OT)および産業用制御システム(ICS)への侵入を実行しました。攻撃者はデフォルトの認証情報とSQLベースのスキーマ抽出を悪用し、最終的にバックドアアカウントを作成し、ヒューマンマシンインターフェース(HMI)を改ざんしました。この事件は、重要インフラ組織、特に公益事業体にとって、高精度な欺瞞技術の導入と、正確な脅威インテリジェンスのためのハクティビストチャネルの警戒監視がますます重要になっていることを浮き彫りにしています。
攻撃の詳細:初期アクセスと偵察
攻撃は9月のある日、UTC午前8時22分に開始され、IPアドレス「45.157.234[.]199」(AS58212、dataforest GmbHに登録)から発信されました。初期アクセスは、デフォルトのHMI認証情報(admin/admin)を介して行われました。攻撃者はHMIの「sql.shtm」インターフェースを通じて、2段階のSQL偵察を実行しました。最初のクエリは主キーの列挙を試みましたが失敗し、2回目のクエリでテーブルとカラムのメタデータの抽出に成功しました。
使用されたSQLクエリは以下の通りです。
SELECT t.TABLENAME, c.COLUMNNAME, c.COLUMNNUMBER, c.COLUMNDATATYPE, c.COLUMNDEFAULT, c.AUTOINCREMENTVALUE, c.AUTOINCREMENTSTART, c.AUTOINCREMENTINC FROM sys.systables t JOIN sys.syscolumns c ON t.TABLEID = c.REFERENCEID WHERE t.tabletype = 'T' ORDER BY t.TABLENAME, c.COLUMNNUMBER;SELECT t.TABLENAME, con.CONSTRAINTNAME, con.TYPE FROM sys.systables t JOIN sys.sysconstraints con ON t.TABLEID = con.TABLEID ORDER BY t.TABLENAME;
これらのコマンドは手動で入力されたと見られ、攻撃者がHMIのウェブインターフェースとSQLスキーマ構造に精通していることを示唆しています。脅威アクターのユーザーエージェント文字列「Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0」は、LinuxベースのFirefoxワークフローを示していますが、偽装の可能性も残されています。
侵害後の行動:改ざん、妨害、認証情報窃取
初期侵害から約7時間後、攻撃者は新しいHMIユーザーアカウント「BARLATI」を作成し、翌朝に侵入が終了するまでに4つの異なる行動を実行しました。
まず、CVE-2021-26829を悪用し、HMIのログインページの説明を以下のスクリプトに改ざんしました。
<script>alert("HACKED BY BARLATI, FUCK")</script>
この改ざんにより、ログインページが読み込まれるたびにポップアップアラートが表示されるようになりました。次に、攻撃者は設定済みのPLCデータソースを削除し、リアルタイム更新を停止させました。さらに、HMIを介してPLCのセットポイントを調整し、システム設定を変更してログとアラームを無効にしました。注目すべきは、攻撃者がウェブアプリケーション層のみに焦点を当て、特権昇格や基盤となるホストコンポーネントの悪用を試みなかったことです。
広範な影響とハクティビストの動向
TwoNetは2025年1月に登場し、当初はMegaMedusa Machineマルウェアを使用してDDoSキャンペーンを展開していました。OT/ICSへの標的変更は、9月14日に新しいTelegramチャンネルを開設した時期と一致しており、そこでこの水道事業体への侵入や、ヨーロッパ全土の太陽光発電所およびバイオマスボイラーの制御盤に対する他の攻撃を公に主張しました。
TwoNetの活動は、より広範なハクティビストのトレンドを反映しています。OverFlameやCyberTroopsのようなグループが同盟を結び、ツール、インテリジェンス、アクセスを交換することで、能力の成長を加速させています。派手な主張にもかかわらず、ハニーポットの展開は、頻繁な誤った開始や誤解を明らかにしています。今回のケースでは、水道処理ハニーポットが具体的な侵害指標(IoC)を提供し、ハクティビストの誇張と実際の戦術・技術・手順(TTP)を明確にしました。
公益事業体は、セキュリティ予算の遅れやOT/ICSデバイスのオンライン露出により、依然として魅力的な標的となっています。ハクティビストがDDoS攻撃からOT/ICSへと標的を拡大する中、ハニーポットからのインテリジェンスは不可欠であり続けています。
結論と推奨事項
セキュリティ運用に欺瞞フィードを組み込むことで、重要インフラ組織は、実際の脅威と空虚なポーズを区別し、進化する同盟関係を追跡し、水道、電力、その他の公益事業環境へのリスクを軽減することができます。警戒と欺瞞的な対抗策を組み合わせることが、ハクティビスト主導の次の混乱の波から産業システムを保護するために不可欠となるでしょう。