Networking

Para peretas menargetkan infrastruktur penting, menyerang pabrik umpan

79
para-peretas-menargetkan-infrastruktur-penting,-menyerang-pabrik-umpan
Para peretas menargetkan infrastruktur penting, menyerang pabrik umpan

Sebuah kelompok hacktivist pro-Rusia bernama TwoNet berubah dalam waktu kurang dari setahun dari meluncurkan serangan penolakan layanan terdistribusi (DDoS) hingga menargetkan infrastruktur penting.

Baru-baru ini, pelaku ancaman mengklaim melakukan serangan terhadap fasilitas pengolahan air yang ternyata merupakan sistem honeypot realistis yang dibuat oleh peneliti ancaman khusus untuk mengamati pergerakan musuh.

Kompromi pada fasilitas umpan terjadi pada bulan September dan mengungkapkan bahwa pelaku ancaman berpindah dari akses awal ke tindakan mengganggu dalam waktu sekitar 26 jam.

Tanaman umpan tapi ancaman nyata

Para peneliti di Forescout, sebuah perusahaan yang menyediakan solusi keamanan siber untuk TI perusahaan dan jaringan industri, memantau aktivitas TwoNet di instalasi pengolahan air palsu, melihat para peretas mencoba kredensial default dan mendapatkan akses awal pada pukul 08:22.

Pada hari pertama, kelompok hacktivist berusaha menghitung database pada sistem; mereka berhasil dalam upaya kedua, setelah menggunakan kumpulan kueri SQL yang benar untuk sistem.

Penyerang melanjutkan untuk membuat akun pengguna baru bernama Barlati dan mengumumkan intrusi mereka dengan mengeksploitasi kerentanan penyimpanan skrip lintas situs (XSS) lama yang dilacak sebagai CVE-2021-26829.

Mereka memanfaatkan masalah keamanan untuk memicu peringatan pop-up pada antarmuka mesin manusia (HMI) yang menampilkan pesan “Diretas oleh Barlati.”

Namun, mereka melakukan tindakan yang lebih merusak dengan mengganggu proses dan menonaktifkan log dan alarm.

Peneliti Forescout mengatakan bahwa TwoNet, yang tidak menyadari pelanggaran sistem umpan, menonaktifkan pembaruan waktu nyata dengan menghapus pengontrol logika terprogram (PLC) yang terhubung dari daftar sumber data, dan mengubah setpoint PLC di HMI.

“Penyerang tidak mencoba meningkatkan hak istimewa atau mengeksploitasi host yang mendasarinya, hanya berfokus pada lapisan aplikasi web HMI,” – Pramuka

Keesokan harinya, pada pukul 11:19, peneliti Forescout mencatat login terakhir penyusup tersebut.

Meskipun TwoNet awalnya dimulai sebagai kelompok hacktivist pro-Rusia lainnya yang berfokus pada peluncuran serangan DDoS terhadap entitas yang menunjukkan dukungan untuk Ukraina, geng tersebut tampaknya terlibat dalam berbagai aktivitas dunia maya.

Di saluran Telegram penyerang, Forescout menemukan bahwa TwoNet mencoba menargetkan antarmuka HMI atau SCADA dari organisasi infrastruktur penting di “negara musuh.”

Geng tersebut juga menerbitkan rincian pribadi personel intelijen dan polisi, penawaran komersial untuk layanan kejahatan dunia maya seperti ransomware-as-a-service (RaaS), hacker untuk disewa, atau untuk akses awal ke sistem SCADA di Polandia.

“Pola ini mencerminkan kelompok lain yang telah beralih dari DDoS/pengrusakan ‘tradisional’ menjadi operasi OT/ICS,” kata peneliti Forescout.

Untuk mengurangi risiko pelanggaran, Forescout merekomendasikan organisasi di sektor infrastruktur penting untuk memastikan bahwa sistem memiliki otentikasi yang kuat dan tidak terpapar ke web publik.

Melakukan segmentasi jaringan produksi dengan benar, dikombinasikan dengan daftar kontrol akses berbasis IP untuk akses antarmuka admin, dapat mencegah pelaku ancaman jika mereka melanggar jaringan perusahaan.

Forescout juga merekomendasikan penggunaan deteksi sadar protokol yang memperingatkan upaya eksploitasi dan perubahan dalam HMI.

Acara Validasi Keamanan Tahun Ini: Picus BAS Summit

Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.

Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda

Exit mobile version