Um grupo de hackers ativistas pró-Rússia, conhecido como TwoNet, evoluiu em menos de um ano de simples ataques de negação de serviço (DDoS) para investidas diretas a infraestruturas críticas. Recentemente, o grupo reivindicou um ataque a uma estação de tratamento de águas que, na verdade, não passava de um sistema de engodo (honeypot) altamente realista, criado por investigadores de cibersegurança para estudar os seus movimentos.
A análise do ataque, que ocorreu em setembro, revelou que os hackers levaram apenas 26 horas desde o acesso inicial até à tentativa de sabotagem. A investigação foi conduzida pela Forescout, uma empresa especializada em soluções de cibersegurança.
A anatomia de um ataque em 26 horas
Os investigadores da Forescout, que monitorizavam a atividade do TwoNet na falsa estação de tratamento, observaram que os atacantes conseguiram o acesso inicial às 8:22 da manhã, recorrendo a credenciais padrão. Durante o primeiro dia, o grupo tentou explorar as bases de dados do sistema, conseguindo-o numa segunda tentativa após corrigirem as suas queries SQL.
Posteriormente, o atacante criou uma nova conta de utilizador chamada "Barlati" e anunciou a sua presença explorando uma antiga vulnerabilidade de Cross-Site Scripting (XSS), identificada como CVE-2021-26829. Através desta falha, conseguiram despoletar um alerta pop-up na Interface Homem-Máquina (HMI) com a mensagem "Hacked by Barlati."
Contudo, as ações mais perigosas visavam a disrupção dos processos industriais. Os atacantes desativaram as atualizações em tempo real ao remover os Controladores Lógicos Programáveis (PLCs) da fonte de dados e alteraram os setpoints dos PLCs diretamente na HMI. Segundo a Forescout, "o atacante não tentou escalar privilégios ou explorar o sistema anfitrião, focando-se exclusivamente na camada de aplicação web da HMI". O último acesso do intruso foi registado às 11:19 da manhã do dia seguinte.
Da negação de serviço à sabotagem industrial
Apesar de o TwoNet ter começado como mais um grupo hacktivista pró-Rússia focado em ataques DDoS contra entidades que apoiam a Ucrânia, as suas atividades diversificaram-se. No seu canal de Telegram, a Forescout descobriu que o grupo procura ativamente interfaces HMI ou SCADA de organizações de infraestruturas críticas em "países inimigos".
O grupo também publicou dados pessoais de agentes policiais e de serviços de inteligência, para além de oferecer serviços de cibercrime, como Ransomware-as-a-Service (RaaS), hackers para aluguer e venda de acessos iniciais a sistemas SCADA na Polónia. Este padrão reflete a evolução de outros grupos que transitaram de ciberataques tradicionais para operações em tecnologias operacionais (OT) e sistemas de controlo industrial (ICS).
Como proteger a infraestrutura crítica
Para mitigar o risco de um ataque bem-sucedido, a Forescout recomenda que as organizações do setor das infraestruturas críticas garantam que os seus sistemas utilizam autenticação forte e não estejam expostos publicamente na internet.
Uma segmentação adequada da rede de produção, combinada com listas de controlo de acesso baseadas em IP para as interfaces de administração, pode ser crucial para conter os atacantes caso estes consigam furar a segurança da rede corporativa. A empresa sugere ainda o uso de sistemas de deteção que compreendam os protocolos industriais para alertar sobre tentativas de exploração e alterações na HMI.
Nenhum comentário
Seja o primeiro!