O grupare hacktivistă pro-rusă numită „TwoNet” a vizat un sistem fals (honeypot) de tip stație de tratare a apei și au dezactivat setările de logging și alarmare.
Un honeypot este o „capcană digitală” care imită o infrastructură reală sub forma unui sistem informatic creat intenționat pentru a atrage, observa și analiza activitatea atacatorilor cibernetici.
Conform analizei experților de la Forescout, o companie ce furnizează soluții de securitate pentru dispozitive industriale (OT/SCADA), intruziunea a început la ora 08:22 (ora serverului) de la o adresă IP atribuită unui furnizor german, iar atacatorul a folosit un user-agent care imita Firefox pe Linux.
Prima accesare a interfeței HMI s-a realizat folosind credențiale implicite (admin/admin), după care atacatorii au încercat interogări SQL pentru a enumera structura bazei de date.
Atacatorii au creat apoi un cont nou denumit „BARLATI”; prima autentificare cu acest cont a avut loc la 15:20, iar ultima sesiune notată a fost în ziua următoare la 11:19.
În intervalul activ, atacatorul a efectuat patru acțiuni vizibile prin panoul de interacțiune cu mașinile (HMI – human machine interface) prin care au perturbat procesele și au încercat să evite detecția intruziunii prin dezactivarea logurilor și a alarmei.
TwoNet a exploatat și o vulnerabilitate cunoscută (CVE-2021-26829) pentru a afișa pe pagina de autentificare a HMI un mesaj de tip alertă prin care își anunțau intruziunea.
Pentru perturbare, atacatorul a șters PLC-urile conectate ca surse de date — acțiune care a oprit actualizările în timp real — iar pentru manipulare a modificat setpoint-urile controlerelor prin interfața web.
Atacatorii au revendicat public atacul pe canale Telegram, crezând că au intrat într-un sistem real de tratare a apei.
Forescout atenționează că grupuri similare își extind activitatea dincolo de atacuri de tip DDoS către sisteme industriale, combinând tacticile web tradiționale cu revendicări menite să atragă atenția.
Cercetătorii Forescout evidențiază importanța datelor colectate din honeypot-uri pentru înțelegerea tehnicilor emergente ale hacktiviștilor care vizează infrastructura critică.
Raportul include recomandări concrete de prevenție prin utilizarea de autentificări puternice și ștergerea conturilor implicite.
Administratorii sunt sfătuiți să elimine expunerea directă la Internet a interfețelor OT, să implementeze o segmentare strictă, să facă o monitorizare bazată pe protocoalele OT (pentru detectarea încercărilor de scriere, sau ghicirea de parole și modificări neautorizate ale HMI.
