Vào tháng 9 vừa qua, nhóm tin tặc hacktivist pro-Nga có tên TwoNet đã thực hiện cuộc xâm nhập mạng đầu tiên vào hệ thống công nghệ vận hành (OT/ICS) của một honeypot tiện ích xử lý nước. Vụ việc này đã phơi bày một lỗ hổng CVE đáng chú ý cùng với các kỹ thuật khai thác tinh vi.

Bằng cách lợi dụng thông tin đăng nhập mặc định và trích xuất lược đồ SQL, kẻ tấn công đã tạo tài khoản backdoor và thay đổi giao diện HMI (Human-Machine Interface). Điều này cho thấy sự chuyển đổi đáng lo ngại của nhóm từ các cuộc tấn công DDoS đơn thuần sang các mục tiêu tiện ích hạ tầng quan trọng.

Phân tích cuộc tấn công và chiếm quyền điều khiển HMI

Phương thức xâm nhập ban đầu

Cuộc tấn công bắt đầu vào lúc 08:22 AM UTC, ngày 04 tháng 9, có nguồn gốc từ địa chỉ IP 45.157.234[.]199, thuộc AS58212 (dataforest GmbH).

Quyền truy cập ban đầu được thiết lập thông qua việc lợi dụng thông tin đăng nhập HMI mặc định: admin/admin. Đây là một điểm yếu phổ biến trong nhiều hệ thống OT/ICS.

Chuỗi User-Agent của tác nhân đe dọa là Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0. Chuỗi này cho thấy quy trình làm việc trên nền tảng Linux với trình duyệt Firefox, mặc dù khả năng giả mạo là có thể xảy ra.

Khai thác và trích xuất dữ liệu SQL

Thông qua giao diện sql.shtm của HMI, kẻ tấn công đã tiến hành hai vòng trinh sát SQL. Các truy vấn đầu tiên nhằm liệt kê các khóa chính đã thất bại.

Tuy nhiên, các truy vấn thứ hai đã thành công trong việc trích xuất siêu dữ liệu bảng và cột.

-- Thí dụ truy vấn trích xuất siêu dữ liệu bảng
SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA = 'database_name';

-- Thí dụ truy vấn trích xuất siêu dữ liệu cột
SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME = 'table_name';

Bằng chứng cho thấy các lệnh này được nhập thủ công, nhấn mạnh sự quen thuộc của kẻ tấn công với giao diện web HMI và cấu trúc lược đồ SQL.

Hành vi sau khi xâm nhập

Khoảng bảy giờ sau khi xâm nhập ban đầu, kẻ tấn công đã tạo một tài khoản người dùng HMI mới có tên “BARLATI”. Sau đó, chúng đã thực hiện bốn hành động riêng biệt trước khi cuộc tấn công kết thúc vào sáng hôm sau.

Đầu tiên, lợi dụng lỗ hổng CVE-2021-26829, kẻ tấn công đã thay đổi mô tả trang đăng nhập HMI thành:

GET /sql.shtm?sql=UPDATE+Config_Table+SET+Description=%27WE+ARE+TWONET%27+WHERE+ID=1

Hành vi thay đổi giao diện (defacement) này đã kích hoạt cảnh báo pop-up mỗi khi trang đăng nhập được tải. Đây là một dấu hiệu rõ ràng của việc hệ thống bị chiếm quyền điều khiển.

Tiếp theo, kẻ tấn công đã xóa các nguồn dữ liệu PLC đã cấu hình, khiến việc cập nhật dữ liệu thời gian thực bị dừng lại. Sau đó, các điểm đặt PLC (PLC setpoints) cũng bị điều chỉnh thông qua HMI.

Các cài đặt hệ thống cũng bị sửa đổi để vô hiệu hóa nhật ký (logs) và cảnh báo (alarms). Điều này nhằm che giấu dấu vết và làm suy yếu khả năng giám sát của hệ thống.

Đáng chú ý, kẻ tấn công chỉ tập trung vào lớp ứng dụng web, không cố gắng leo thang đặc quyền hay khai thác các thành phần máy chủ bên dưới. Điều này cho thấy mục tiêu chính là gây rối và thể hiện khả năng xâm nhập mạng.

Các chỉ số thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp dưới đây có thể được sử dụng để phát hiện và ngăn chặn các cuộc tấn công tương tự, giảm thiểu rủi ro bảo mật cho hệ thống OT/ICS.

• Địa chỉ IP nguồn:45.157.234[.]199
• ASN:AS58212 (dataforest GmbH)
• Thông tin đăng nhập mặc định bị khai thác:admin/admin
• Giao diện bị lợi dụng:HMI’s sql.shtm
• Tài khoản người dùng HMI mới được tạo:BARLATI
• Chuỗi User-Agent:Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0
• Mô tả trang đăng nhập HMI bị thay đổi:WE ARE TWONET
• CVE bị lợi dụng:CVE-2021-26829 (để thay đổi mô tả trang đăng nhập HMI)

Đánh giá tác động và tầm quan trọng của Honeypot

Bối cảnh và sự phát triển của TwoNet

TwoNet xuất hiện vào tháng 1 năm 2023 và ban đầu hoạt động các chiến dịch DDoS sử dụng mã độc MegaMedusa Machine. Việc chuyển hướng sang mục tiêu OT/ICS trùng khớp với việc ra mắt kênh Telegram mới của chúng vào ngày 14 tháng 9.

Tại kênh này, nhóm đã công khai tuyên bố cuộc xâm nhập mạng vào tiện ích xử lý nước này và các cuộc tấn công khác chống lại các bảng điều khiển nhà máy năng lượng mặt trời và lò hơi sinh khối trên khắp Châu Âu.

Hoạt động của TwoNet phản ánh một xu hướng hacktivist rộng hơn: các nhóm sử dụng liên minh—chẳng hạn như OverFlame và CyberTroops—để trao đổi công cụ, thông tin tình báo và quyền truy cập, đẩy nhanh tốc độ phát triển năng lực của mình.

Mặc dù có những tuyên bố khoa trương, nhưng việc triển khai honeypot đã cho thấy nhiều lần khởi động sai và đánh lạc hướng của các nhóm này. Đây là một cảnh báo CVE thực tế về rủi ro bảo mật.

Bài học về phòng thủ OT/ICS

Trong trường hợp này, honeypot xử lý nước đã cung cấp các IOC cụ thể, làm rõ các TTPs (Tactics, Techniques, and Procedures) so với những lời phóng đại của hacktivist.

Các tiện ích công cộng vẫn là mục tiêu hấp dẫn do ngân sách an ninh mạng còn hạn chế và việc phơi bày các thiết bị OT/ICS trực tuyến. Điều này làm tăng rủi ro bảo mật đáng kể.

Thông tin tình báo từ honeypot vẫn là không thể thiếu khi các hacktivist mở rộng hoạt động ngoài DDoS sang OT/ICS. Bằng cách tích hợp các nguồn dữ liệu lừa đảo vào hoạt động an ninh, các thực thể hạ tầng quan trọng có thể phân biệt các mối đe dọa thực sự với những lời đe dọa suông.

Họ cũng có thể theo dõi các liên minh đang phát triển và giảm thiểu rủi ro bảo mật cho môi trường nước, điện và các tiện ích khác. Sự cảnh giác, kết hợp với các biện pháp đối phó lừa đảo, sẽ là yếu tố thiết yếu để bảo vệ các hệ thống công nghiệp khỏi làn sóng gián đoạn tiếp theo do hacktivist gây ra, tăng cường an ninh mạng toàn diện.