ProSusijos hactivistų grupė, vadinama „Twonet“, pasukama per mažiau nei metus nuo paskirstytų paslaugų teikimo (DDoS) išpuolių, orientuotų į kritinę infrastruktūrą.
Neseniai grėsmės aktorius teigė, kad išpuolis prieš vandens valymo įrenginį, kuris pasirodė esąs realistiška „Honeypot“ sistema, kurią sukūrė grėsmės tyrinėtojai, ypač stebėti priešininkų judesius.
Kompromisas „Decoy“ įrenginyje įvyko rugsėjį ir atskleidė, kad grėsmės aktorius per maždaug 26 valandas perėjo nuo pradinės galimybės gauti žlugdančius veiksmus.
Jaukų augalas, bet reali grėsmė
„ForeScout“, įmonės, teikiančios kibernetinio saugumo sprendimus įmonės IT ir pramoninių tinklų, tyrėjai, stebėdama „Twonet“ veiklą netikrame vandens valymo įrenginyje, pastebėjo įsilaužėlius, bandančius numatytąsias kredencialus ir įgyjant pradinę prieigą 8:22.
Pirmąją dieną hactivist grupė bandė išvardyti sistemos duomenų bazes; Jiems pavyko per antrą bandymą, panaudoję teisingą SQL užklausų rinkinį sistemai.
Užpuolikas pradėjo kurti naują vartotojo abonementą, pavadintą „Barlati“, ir paskelbė apie jų įsibrovimą, išnaudodamas seną saugomą kryžminio scenarijaus (XSS) pažeidžiamumą, stebimą kaip CVE-2021-26829.
Jie pasinaudojo saugumo problema, kad suaktyvintų iššokantį įspėjimą apie žmogaus mašinos sąsają (HMI), kuriame buvo rodomas pranešimas „Hacked by Barlati“.
Tačiau jie atliko labiau žalingus veiksmus, kad sutrikdytų procesus ir išjungtų žurnalus bei aliarmus.
„ForeScout“ tyrėjai sako, kad „Twonet“, nežinantis pažeisti jaukų sistemą, išjungti realaus laiko atnaujinimus, pašalindamas prijungtus programuojamus loginius valdiklius (PLC) iš duomenų šaltinių sąrašo ir pakeitus HMI PLC kontrolinius taškus.
„Užpuolikas nebandė privilegijos eskalavimo ar pagrindinio pagrindinio kompiuterio išnaudojimo, daugiausia dėmesio
Kitą dieną, 11:19 val., „Forescout“ tyrėjai prisijungė prie paskutinio įsibrovėlio prisijungimo.
Nors „Twonet“ iš pradžių pradėjo kaip dar viena prorusiškos haktivizmo grupė, orientuota į DDoS išpuolių prieš subjektus, rodančių Ukrainą, paleidimą, atrodo, kad gauja užsiima įvairiomis kibernetinėmis veiklomis.
Užpuoliko „Telegram“ kanale „Forescout“ nustatė, kad „Twonet“ bandė nukreipti į „priešo šalių“ kritinės infrastruktūros organizacijų HMI ar SCADA sąsajas.
Gauja taip pat paskelbė asmeninę žvalgybos ir policijos personalo informaciją, komercinius pasiūlymus dėl elektroninių nusikaltimų paslaugų, tokių kaip „Ransomware-A-A-Service“ (RAAS), „Hacker-For-Of“ arba pradinė prieiga prie SCADA sistemų Lenkijoje.
„Šis modelis atspindi kitas grupes, kurios pasikeitė nuo„ tradicinių “DDoS/Deflecation į OT/ICS operacijas“, – sako „Forescout“ tyrėjai.
Siekdama sumažinti pažeidimo riziką, „Forescout“ rekomenduoja kritinės infrastruktūros sektoriaus organizacijas įsitikinti, kad sistemos turi tvirtą autentifikavimą ir nėra veikiamos viešojo interneto.
Tinkamai suskirstant gamybos tinklą, kartu su IP pagrįstais prieigos kontrolės sąrašais, skirtais administratoriaus sąsajos prieigai, gali išlaikyti grėsmės veikėjus, jei jie pažeidžia įmonių tinklą.
„ForeScout“ taip pat rekomenduoja naudoti protokolą, kuris aptiktų, kuris įspėja apie bandymus išnaudoti ir HMI pokyčius.
Prisijunkite prie Pažeidimo ir puolimo modeliavimo viršūnių susitikimas ir patirti Saugumo patvirtinimo ateitis. Išgirsti iš geriausių ekspertų ir pažiūrėkite, kaip AI varomas Bas Keičiasi pažeidimo ir puolimo modeliavimas.
Nepraleiskite įvykio, kuris suformuos jūsų saugumo strategijos ateitį
