Um grupo hacktivista pró-Rússia chamado TwoNet mudou seu foco em menos de um ano, deixando ataques de negação de serviço distribuída (DDoS) para se dedicar a ações contra infraestrutura crítica.
Recentemente, o grupo afirmou ter atacado uma estação de tratamento de água que, na verdade, era um honeypot realista montado por pesquisadores de segurança para monitorar os movimentos dos adversários.
A invasão desse sistema falso ocorreu em setembro, mostrando que o grupo avançou do acesso inicial a ações disruptivas em cerca de 26 horas.
Pesquisadores da Forescout, empresa especializada em soluções de cibersegurança para redes corporativas e industriais, acompanharam a atuação do TwoNet nessa estação fictícia.
Eles observaram que os hackers usaram credenciais padrão para obter o acesso inicial às 8h22.
No primeiro dia, o grupo tentou listar os bancos de dados do sistema, obtendo sucesso na segunda tentativa ao aplicar um conjunto correto de queries SQL.
Em seguida, o invasor criou uma nova conta de usuário chamada Barlati e anunciou a invasão explorando uma vulnerabilidade antiga de cross-site scripting armazenado (stored XSS), identificada como
CVE-2021-26829
.
Essa falha foi usada para disparar um alerta pop-up na interface homem-máquina (HMI) com a mensagem “Hacked by Barlati”.
Além disso, o grupo realizou ações mais agressivas, como a interrupção de processos e a desativação de logs e alarmes.
Segundo a Forescout, o TwoNet, sem saber que havia comprometido um sistema falso, desabilitou as atualizações em tempo real ao remover os controladores lógicos programáveis (PLCs) da lista de fontes de dados e alterou os setpoints dos PLCs na HMI.
No dia seguinte, às 11h19, os pesquisadores registraram o último login do invasor.
Inicialmente, o TwoNet atuava como um grupo hacktivista pró-Rússia focado em ataques DDoS contra alvos que manifestavam apoio à Ucrânia, mas agora demonstra envolvimento em diversas atividades cibernéticas.
No canal do grupo no Telegram, a Forescout identificou tentativas de ataque a interfaces HMI e SCADA de infraestruturas críticas em “países inimigos”.
Além disso, o grupo divulgou dados pessoais de agentes de inteligência e policiais, além de ofertas comerciais para serviços cibercriminosos, como ransomware-as-a-service (RaaS), hackers-for-hire e acesso inicial a sistemas SCADA na Polônia.
“Esse padrão reflete a mudança observada em outros grupos que evoluíram de ataques tradicionais de DDoS e defacement para operações em OT/ICS”, avaliam os pesquisadores da Forescout.
Para reduzir o risco de invasões, a empresa recomenda que organizações do setor de infraestrutura crítica adotem autenticação forte e evitem expor sistemas diretamente à internet.
Segmentar adequadamente a rede de produção, aliado ao uso de listas de controle de acesso baseadas em IP para as interfaces administrativas, pode impedir que invasores avancem mesmo após comprometerem a rede corporativa.
Por fim, a Forescout aconselha o uso de detecção protocol-aware, que alerta para tentativas de exploit e alterações na HMI.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...