Yeni tanımlanan Rusya yanlısı bir hacktivist grup, kritik altyapı kuruluşlarının operasyonel teknolojisine ve endüstriyel kontrol sistemlerine başarılı bir şekilde sızdı; giriş bilgilerini çalmak ve hayati hizmetleri kesintiye uğratmak için karmaşık teknikler kullandı.
TwoNet olarak bilinen tehdit aktörü, geleneksel dağıtılmış hizmet reddi saldırılarının ötesine geçerek su arıtma tesisleri, güneş enerjisi tesisleri ve diğer endüstriyel ortamlardaki insan-makine arayüzlerini ve programlanabilir mantık denetleyicilerini hedef alan, yeni ortaya çıkan bir hacktivist sınıfını temsil ediyor.
Grubun saldırı metodolojisi, basit web sitesi tahrifatlarından endüstriyel süreçlerin karmaşık manipülasyonuna kadar hacktivist yeteneklerde endişe verici bir evrim olduğunu gösteriyor.
TwoNet’in operasyonları birçok Avrupa ülkesinde gözlemlendi ve özellikle rakip olarak gördükleri ülkelerdeki kamu hizmetleri ve enerji altyapısına odaklanıldı.
Faaliyetleri arasında veritabanı numaralandırma, sistem tahrifatı, süreç kesintisi ve internete açık OT/ICS cihazlarından kimlik bilgileri toplama yer alıyor.
Forescout analistleri, kritik altyapıyı hedef alan tehdit aktörlerini çekmek ve izlemek için tasarlanmış karmaşık balküpü operasyonları aracılığıyla kötü amaçlı yazılımları ve saldırı modellerini belirledi.
Araştırma ekibinin su arıtma tesisi bal küpü, TwoNet’in izinsiz giriş metodolojisini başarıyla yakalayarak grubun taktikleri, teknikleri ve prosedürlerine eşi benzeri görülmemiş bir görünürlük sağladı.
Bu istihbarat toplama çabası, yalnızca kullanılan belirli saldırı vektörlerini değil, aynı zamanda koordinasyon içinde faaliyet gösteren bağlı hacktivist grupların daha geniş ekosistemini de ortaya çıkardı.
.webp)
Saldırganlar, varsayılan kimlik doğrulama mekanizmalarından yararlanma, SQL enjeksiyon tekniklerini kullanma ve insan-makine arayüz sistemlerindeki bilinen güvenlik açıklarından yararlanma konusunda özel bir uzmanlık sergiledi.
Operasyonları, Modbus ve S7 iletişimleri de dahil olmak üzere çok sayıda endüstriyel protokolü kapsıyor ve bu da operasyonel teknoloji ortamlarına ilişkin gelişmiş bilgiye işaret ediyor.
Grubun birden fazla oturum açma oturumunda kalıcılığı sürdürme ve kritik sistem yapılandırmalarını sistematik olarak değiştirme yeteneği, hacktivist tehdit yeteneklerinde önemli bir artışı temsil ediyor.
Gelişmiş Veritabanı Kullanımı ve Sistem Manipülasyon Teknikleri
TwoNet tarafından kullanılan izinsiz giriş metodolojisi, tipik hacktivist operasyonların çok ötesine geçen karmaşık veritabanı numaralandırma yeteneklerini ortaya çıkarır.
Saldırganlar, varsayılan kimlik bilgilerini (yönetici/yönetici) kullanarak insan-makine arayüzüne giriş yaparak saldırılarını başlattı ve hemen hedef sistemden kapsamlı şema bilgilerini çıkarmak için tasarlanmış karmaşık SQL sorgularını yürütmeye başladı.
Grubun ilk veritabanı keşfi, birincil anahtar numaralandırma komutlarını kullanan başarısız girişimlerle başlayan, sql.shtm sayfası aracılığıyla karmaşık sorguların yürütülmesini içeriyordu.
Bu ilk sorgular başarısız olduğunda saldırganlar, yaklaşımlarını değiştirerek ve alternatif SQL sözdizimini kullanarak ayrıntılı tablo yapılarını başarılı bir şekilde çıkararak dikkate değer bir ısrar gösterdi: –
SELECT t.TABLENAME, c.COLUMNNAME, c.COLUMNNUMBER, c.COLUMNDATATYPE,
c.COLUMNDEFAULT, c.AUTOINCREMENTVALUE, c.AUTOINCREMENTSTART,
c.AUTOINCREMENTINC
FROM sys.systables t
JOIN sys.syscolumns c ON t.TABLEID = c.REFERENCEID
WHERE t.tabletype="T"
ORDER BY t.TABLENAME, c.COLUMNNUMBERBaşarılı veritabanı numaralandırmasının ardından saldırganlar, “BARLATI” adında yeni bir kullanıcı hesabı oluşturdu ve yaklaşık 24 saate yayılan birden fazla oturumda erişimi sürdürdü.
Sistematik yaklaşımları arasında, HMI oturum açma sayfasına kötü amaçlı JavaScript kodu enjekte etmek için CVE-2021-26829’dan yararlanma ve yöneticiler sisteme her eriştiğinde uyarıları tetikleyecek kalıcı tahrifat oluşturma yer alıyordu.
Saldırganlar ayrıca sistem ayarlarını değiştirerek kayıt tutma ve alarm mekanizmalarını devre dışı bırakarak, güvenlik izleme sistemlerini devam eden faaliyetlerine karşı etkili bir şekilde körleştirerek gelişmiş operasyonel güvenlik sergilediler.
Bu veritabanı manipülasyon tekniklerinin karmaşıklığı, grubun çok aşamalı saldırılar gerçekleştirirken operasyonel güvenliği koruma becerisiyle birleştiğinde, gelişmiş araçlara erişime ve tipik hacktivist yeteneklerinin ötesine geçen önemli operasyonel deneyime işaret ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
