Un groupe d’hacktivistes pro-russes appelé TwoNet est passé en moins d’un an du lancement d’attaques par déni de service distribué (DDoS) au ciblage d’infrastructures critiques.
Récemment, l’auteur de la menace a revendiqué une attaque contre une installation de traitement de l’eau qui s’est avérée être un système de pot de miel réaliste mis en place par des chercheurs sur les menaces spécifiquement pour observer les mouvements des adversaires.
La compromission de l’installation de leurres a eu lieu en septembre et a révélé que l’auteur de la menace est passé de l’accès initial à une action perturbatrice en environ 26 heures.
Plante leurre mais menace réelle
Des chercheurs de Forescout, une société fournissant des solutions de cybersécurité pour les réseaux informatiques et industriels d’entreprise, surveillant l’activité de TwoNet dans la fausse usine de traitement des eaux, ont remarqué que les pirates informatiques essayaient les informations d’identification par défaut et obtenaient un accès initial à 8h22.
Au cours de la première journée, le groupe d’hacktivistes a tenté d’énumérer les bases de données sur le système; ils ont réussi une deuxième tentative, après avoir utilisé le bon ensemble de requêtes SQL pour le système.
L’attaquant a procédé à la création d’un nouveau compte d’utilisateur appelé Barlati et a annoncé son intrusion en exploitant une ancienne vulnérabilité de script intersite stockée (XSS) identifiée comme CVE-2021-26829.
Ils ont exploité le problème de sécurité pour déclencher une alerte contextuelle sur l’interface homme-machine (IHM) qui affichait le message “Piraté par Barlati.”
Cependant, ils se sont engagés dans des actions plus dommageables pour perturber les processus et désactiver les journaux et les alarmes.
Les chercheurs de Forescout affirment que TwoNet, ignorant la violation d’un système de leurre, a désactivé les mises à jour en temps réel en supprimant les automates programmables connectés de la liste des sources de données et en modifiant les points de consigne de l’automate dans l’IHM.
“L’attaquant n’a pas tenté d’escalade de privilèges ou d’exploitation de l’hôte sous-jacent, se concentrant exclusivement sur la couche d’application Web de l’IHM », – Forescout
Le lendemain, à 11h19, les chercheurs de Forescout ont enregistré la dernière connexion de l’intrus.
Alors que TwoNet a commencé initialement comme un autre groupe d’hacktivistes pro-russes axé sur le lancement d’attaques DDoS contre des entités manifestant leur soutien à l’Ukraine, le gang semble être engagé dans diverses cyberactivités.
Sur le canal Telegram de l’attaquant, Forescout a découvert que TwoNet avait tenté de cibler des interfaces IHM ou SCADA d’organisations d’infrastructures critiques dans des “pays ennemis ».”
Le gang a également publié des informations personnelles sur le personnel des services de renseignement et de police, des offres commerciales pour des services de cybercriminalité tels que ransomware-as-a-service (RaaS), hacker-for-hire ou pour un accès initial aux systèmes SCADA en Pologne.
“Ce modèle reflète d’autres groupes qui sont passés des attaques DDoS/défacement « traditionnelles » aux opérations OT / ICS », expliquent les chercheurs de Forescout.
Pour réduire le risque de violation, Forescout recommande aux organisations du secteur des infrastructures critiques de s’assurer que les systèmes disposent d’une authentification forte et ne sont pas exposés au Web public.
Une segmentation correcte du réseau de production, combinée à des listes de contrôle d’accès basées sur IP pour l’accès à l’interface d’administration, peut éloigner les auteurs de menaces s’ils violent le réseau de l’entreprise.
Forescout recommande également d’utiliser une détection sensible au protocole qui alerte sur les tentatives d’exploitation et les modifications de l’IHM.