HackerNews 编译,转载请注明出处:
一个名为 TwoNet 的亲俄黑客组织在不到一年的时间里,从发起分布式拒绝服务(DDoS)攻击转向瞄准关键基础设施。
最近,该威胁行为者声称攻击了一家水处理厂,但事实证明这是一个由威胁研究人员专门设置的高仿真蜜罐系统,用于观察攻击者的行动。这场对诱饵设施的入侵发生在 9 月,揭示了威胁行为者从初始访问到实施破坏性行动仅用了约 26 小时。
为企业 IT 和工业网络提供 cybersecurity 解决方案的 Forescout 公司研究人员,在监控 TwoNet 在虚假水处理厂的活动时发现,黑客于上午 8:22 尝试使用默认凭证并获得了初始访问权限。在第一天,该黑客组织试图枚举系统上的数据库;在使用了适用于该系统的正确 SQL 查询后,他们在第二次尝试中取得了成功。
攻击者随后创建了一个名为 Barlati 的新用户账户,并利用一个编号为 CVE-2021-26829 的旧版存储型跨站脚本(XSS)漏洞宣布了他们的入侵。
他们利用这一安全问题在人机界面(HMI)上触发了一个弹出警报,显示信息为 “被 Barlati 黑客入侵”。
然而,他们还采取了更具破坏性的行动,以干扰流程并禁用日志和警报。Forescout 的研究人员表示,TwoNet 并未意识到自己入侵的是一个诱饵系统,他们通过从数据源列表中移除连接的可编程逻辑控制器(PLC)来禁用实时更新,并在人机界面中更改了 PLC 的设定值。“攻击者没有尝试权限提升或利用底层主机,而是完全专注于人机界面的 Web 应用层”。
第二天上午 11:19,Forescout 研究人员记录了入侵者的最后一次登录。
虽然 TwoNet 最初只是另一个亲俄黑客组织,专注于对支持乌克兰的实体发起 DDoS 攻击,但该团伙似乎正在从事各种网络活动。
Forescout 在攻击者的 Telegram 频道上发现,TwoNet 试图瞄准 “敌国” 关键基础设施组织的人机界面(HMI)或监控与数据采集(SCADA)系统界面。
该团伙还公布了情报和警务人员的个人详细信息,提供各种网络犯罪服务的商业报价,如勒索软件即服务(RaaS)、黑客雇佣,或提供对波兰 SCADA 系统的初始访问权限。
“这种模式与其他从 ' 传统 ' 的 DDoS 攻击 / 网站篡改转向操作技术(OT)/ 工业控制系统(ICS)操作的组织相似,”Forescout 研究人员表示。
为降低被入侵的风险,Forescout 建议关键基础设施领域的组织确保系统具有强大的身份验证,且不暴露在公共网络上。
对生产网络进行适当分段,结合基于 IP 的访问控制列表用于管理员界面访问,即使攻击者入侵了企业网络,也能将其阻挡在外。
Forescout 还建议使用协议感知检测,以对利用尝试和人机界面中的更改发出警报。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
