TwoNet adlı Rusya yanlısı bir hacktivist grup, bir yıldan kısa bir süre içinde dağıtılmış hizmet reddi (DDoS) saldırıları başlatmaktan kritik altyapıyı hedef almaya başladı.
Son zamanlarda tehdit aktörü, tehdit araştırmacıları tarafından özellikle düşmanların hareketlerini gözlemlemek için kurulmuş gerçekçi bir bal küpü sistemi olduğu ortaya çıkan bir su arıtma tesisine saldırı yapıldığını iddia etti.
Tuzak tesisindeki uzlaşma Eylül ayında gerçekleşti ve tehdit aktörünün ilk erişimden yaklaşık 26 saat içinde yıkıcı eyleme geçtiğini ortaya çıkardı.
Tuzak tesisi ama gerçek tehdit
Kurumsal BT ve endüstriyel ağlar için siber güvenlik çözümleri sağlayan ve TwoNet’in sahte su arıtma tesisindeki faaliyetlerini izleyen Forescout’taki araştırmacılar, bilgisayar korsanlarının varsayılan kimlik bilgilerini denediğini ve sabah 8:22’de ilk erişim elde ettiğini fark etti.
İlk gün hacktivist grup sistemdeki veritabanlarını numaralandırmaya çalıştı; sistem için doğru SQL sorguları kümesini kullandıktan sonra ikinci denemede başarılı oldular.
Saldırgan, Barlati adında yeni bir kullanıcı hesabı oluşturdu ve CVE-2021-26829 olarak izlenen eski bir depolanmış siteler arası komut dosyası çalıştırma (XSS) güvenlik açığından yararlanarak izinsiz giriş yaptığını duyurdu.
İnsan makine arayüzünde (HMI) “Barlati Tarafından Hacklendi” mesajını görüntüleyen bir açılır uyarıyı tetiklemek için güvenlik sorunundan yararlandılar.
Ancak süreçleri aksatmak, günlükleri ve alarmları devre dışı bırakmak için daha zarar verici eylemlere giriştiler.
Forescout araştırmacıları, TwoNet’in, sahte bir sistemin ihlal edildiğinden haberi olmadan, bağlı programlanabilir mantık denetleyicilerini (PLC’ler) veri kaynağı listesinden kaldırarak gerçek zamanlı güncellemeleri devre dışı bıraktığını ve HMI’daki PLC ayar noktalarını değiştirdiğini söylüyor.
“Saldırgan, yalnızca HMI’nın web uygulaması katmanına odaklanarak, ayrıcalık yükseltmeye veya temeldeki ana bilgisayardan yararlanmaya çalışmadı” – Forescout
Ertesi gün saat 11:19’da Forescout araştırmacıları davetsiz misafirin son oturum açma bilgilerini kaydetti.
TwoNet başlangıçta Ukrayna’ya destek gösteren kuruluşlara karşı DDoS saldırıları başlatmaya odaklanan başka bir Rusya yanlısı hacktivist grup olarak başlarken, çetenin çeşitli siber faaliyetlerle meşgul olduğu görülüyor.
Saldırganın Telegram kanalında Forescout, TwoNet’in “düşman ülkelerdeki” kritik altyapı kuruluşlarının HMI veya SCADA arayüzlerini hedeflemeye çalıştığını tespit etti.
Çete ayrıca istihbarat ve polis personelinin kişisel ayrıntılarını, hizmet olarak fidye yazılımı (RaaS), kiralık hacker gibi siber suç hizmetlerine yönelik ticari teklifleri veya Polonya’daki SCADA sistemlerine ilk erişimi yayınladı.
Forescout araştırmacıları, “Bu model, ‘geleneksel’ DDoS/tahrifat operasyonlarından OT/ICS operasyonlarına geçiş yapan diğer grupları yansıtıyor” diyor.
Forescout, ihlal riskini azaltmak için kritik altyapı sektöründeki kuruluşlara, sistemlerinin güçlü kimlik doğrulamasına sahip olduğundan ve genel ağa maruz kalmadığından emin olmalarını tavsiye ediyor.
Yönetici arayüzü erişimi için IP tabanlı erişim kontrol listeleriyle birlikte üretim ağını düzgün şekilde bölümlere ayırmak, kurumsal ağı ihlal etmeleri durumunda tehdit aktörlerini uzak tutabilir.
Forescout ayrıca HMI’daki istismar girişimleri ve değişiklikler konusunda uyarı veren protokole duyarlı algılamanın kullanılmasını önerir.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın