Kelompok Hacktivis Pro-Rusia Serang Infrastruktur Kritis, Ternyata Hanya Pabrik Umpan Palsu
Forescout ungkap kelompok TwoNet menghabiskan 26 jam menyerang sistem decoy water treatment buatan peneliti keamanan siber
Sebuah kelompok hacktivis pro-Rusia bernama TwoNet dilaporkan telah beralih dari serangan distributed denial-of-service (DDoS) ke upaya penyerangan terhadap infrastruktur kritis. Namun, target terbaru mereka ternyata bukan fasilitas sungguhan—melainkan sistem umpan (honeypot) yang sengaja dibuat oleh peneliti keamanan untuk memantau taktik pelaku ancaman.
Dari Akses Awal ke Gangguan Sistem dalam 26 Jam
Insiden ini terjadi pada bulan September di fasilitas air buatan yang diawasi oleh perusahaan keamanan siber Forescout. Peneliti menemukan bahwa TwoNet mencoba masuk menggunakan kredensial default pada pukul 08:22 pagi dan berhasil mendapatkan akses awal.
Dalam waktu kurang dari 26 jam, kelompok ini melangkah cepat dari fase eksplorasi menuju aksi gangguan sistem. Mereka membuat akun baru bernama “Barlati” dan mengeksploitasi celah lama cross-site scripting (CVE-2021-26829) untuk menampilkan pesan pop-up bertuliskan “Hacked by Barlati” di antarmuka Human Machine Interface (HMI).
Selain itu, mereka juga mematikan pembaruan data real-time dengan menghapus pengendali logika terprogram (PLC) dari daftar sumber data serta mengubah setpoint PLC di HMI, berpotensi menonaktifkan alarm dan log sistem.
Menurut Forescout, pelaku tidak mencoba eskalasi hak akses atau mengeksploitasi sistem host, tetapi fokus pada lapisan aplikasi web dari HMI. Aktivitas terakhir mereka tercatat pada pukul 11:19 pagi keesokan harinya.
Dari DDoS ke Target SCADA dan Infrastruktur Vital
TwoNet awalnya dikenal sebagai kelompok hacktivis pro-Rusia yang menargetkan lembaga dan organisasi pendukung Ukraina melalui serangan DDoS. Namun, kini mereka tampak memperluas serangan ke sistem HMI dan SCADA milik organisasi infrastruktur kritis di negara-negara yang dianggap “lawan.”
Melalui kanal Telegram mereka, Forescout menemukan bukti bahwa TwoNet turut membocorkan data pribadi anggota intelijen dan kepolisian, menawarkan jasa kejahatan siber seperti ransomware-as-a-service (RaaS), hacker-for-hire, hingga akses awal ke sistem SCADA di Polandia.
“Pola ini mencerminkan tren di mana kelompok hacktivis bergeser dari aksi DDoS dan defacement menuju operasi yang menargetkan sistem OT/ICS,” tulis Forescout dalam laporannya.
Rekomendasi Keamanan untuk Infrastruktur Kritis
Untuk mengurangi risiko serangan serupa, Forescout menyarankan organisasi sektor infrastruktur penting untuk:
- Menerapkan autentikasi kuat pada semua sistem dan memastikan tidak ada antarmuka yang terekspos ke publik.
- Melakukan segmentasi jaringan produksi dan menggunakan daftar kontrol akses berbasis IP untuk membatasi akses ke antarmuka administrasi.
- Mengimplementasikan deteksi berbasis protokol yang mampu memberikan peringatan terhadap aktivitas eksploitasi pada sistem OT/ICS.
Kasus ini menjadi pengingat bahwa bahkan sistem palsu sekalipun dapat mengungkap tingkat kesiapan dan agresivitas pelaku ancaman terhadap infrastruktur vital global.
Sumber: BleepingComputer
