プロロシアのハクティビスト集団TwoNetがOT/ICSシステムを攻撃
2025年9月、新興のプロロシア系ハクティビスト集団TwoNetが、水道処理施設のハニーポットに対し、初の運用技術(OT)および産業用制御システム(ICS)への侵入を実行しました。この攻撃は、従来のDDoS攻撃から標的型ユーティリティ攻撃への懸念すべき転換を示しています。
攻撃の詳細:初期侵入とSQL偵察
攻撃は9月のある日、UTC午前8時22分に開始され、IPアドレス45.157.234[.]199から発信されました。初期アクセスは、HMI(Human-Machine Interface)のデフォルト認証情報(admin/admin)を悪用して行われました。攻撃者はHMIのsql.shtmインターフェースを通じて、2段階のSQL偵察を実行しました。
最初のクエリは主キーの列挙を試みましたが失敗し、2回目のクエリでテーブルとカラムのメタデータの抽出に成功しました。これらのコマンドは手動で入力されたと見られ、攻撃者がHMIのウェブインターフェースとSQLスキーマ構造に精通していることを示唆しています。使用されたユーザーエージェントは「Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0」でしたが、偽装の可能性も指摘されています。
- 抽出されたSQLクエリ例:
SELECT t.TABLENAME, c.COLUMNNAME, c.COLUMNNUMBER, c.COLUMNDATATYPE, c.COLUMNDEFAULT, c.AUTOINCREMENTVALUE, c.AUTOINCREMENTSTART, c.AUTOINCREMENTINC FROM sys.systables t JOIN sys.syscolumns c ON t.TABLEID = c.REFERENCEID WHERE t.tabletype = 'T' ORDER BY t.TABLENAME, c.COLUMNNUMBER;SELECT t.TABLENAME, con.CONSTRAINTNAME, con.TYPE FROM sys.systables t JOIN sys.sysconstraints con ON t.TABLEID = con.TABLEID ORDER BY t.TABLENAME;
侵入後の行動:改ざん、システム妨害、認証情報窃取
初期侵害から約7時間後、攻撃者は新しいHMIユーザーアカウント「BARLATI」を作成し、翌朝の侵入終了までに4つの異なる行動を実行しました。
- ログインページの改ざん: CVE-2021-26829を悪用し、HMIログインページの説明を
<script>alert("HACKED BY BARLATI, FUCK")</script>に変更。これにより、ログインページが読み込まれるたびにポップアップアラートが表示されました。 - PLCデータソースの削除: 設定済みのPLCデータソースを削除し、リアルタイム更新を停止させました。
- PLC設定値の調整: HMIを介してPLCの設定値を調整しました。
- システム設定の変更: ログとアラームを無効にするようシステム設定を変更しました。
注目すべきは、攻撃者がウェブアプリケーション層のみに焦点を当て、特権昇格や基盤となるホストコンポーネントの悪用を試みなかった点です。
広範な影響と対策の重要性
TwoNetは2025年1月に登場し、当初はMegaMedusa Machineマルウェアを使用したDDoSキャンペーンを展開していました。OT/ICSへの標的変更は、9月14日に開設された新しいTelegramチャンネルと同時期に行われ、そこでこの水道施設への侵入や、ヨーロッパ各地の太陽光発電所やバイオマスボイラー制御盤への攻撃を公に主張しています。
TwoNetの活動は、OverFlameやCyberTroopsのようなグループがツール、情報、アクセスを交換し、能力を加速させているという広範なハクティビストの傾向を反映しています。ハニーポットの展開は、ハクティビストの誇張された主張と実際のTTP(戦術、技術、手順)を区別する上で不可欠な情報を提供します。
セキュリティ予算の遅れやOT/ICSデバイスのオンライン露出により、ユーティリティは依然として魅力的な標的です。ハクティビストがDDoSを超えてOT/ICSに拡大する中、ハニーポットからのインテリジェンスは不可欠です。欺瞞フィードをセキュリティ運用に組み込むことで、重要インフラ組織は実際の脅威と空虚なポーズを区別し、進化する同盟関係を追跡し、水道、電力、その他のユーティリティ環境へのリスクを軽減できます。警戒と欺瞞的な対抗策が、ハクティビストによる次なる破壊の波から産業システムを保護するために不可欠となるでしょう。