В сентябре 2025 года специалисты по кибербезопасности зафиксировали целенаправленную атаку на систему управления водоочистным комплексом. Инцидент оказался уникальным: целью злоумышленников стала не реальная инфраструктура, а специально развернутая исследовательская ловушка - хонепот, имитирующий промышленную систему. Группа хактивистов TwoNet публично взяла на себя ответственность за эту атаку, хотя на самом деле они взаимодействовали с контролируемой средой.
Описание
Атака началась с использования IP-адреса из немецкого хостинга, с которого злоумышленник вошел в человеко-машинный интерфейс (Human-Machine Interface, HMI), используя стандартные учетные данные admin/admin. После успешного входа атакующий провел серию SQL-запросов для изучения структуры базы данных, а затем создал новую учетную запись с именем BARLATI. В течение последующих часов были выполнены четыре ключевых действия: изменение интерфейса входа через уязвимость CVE-2021-26829 с выводом оскорбительного сообщения, удаление подключенных программируемых логических контроллеров (Programmable Logic Controllers, PLC), изменение уставок контроллеров и отключение системы логирования и оповещений.
TwoNet представляет собой новую группу хактивистов, которая изначально специализировалась на DDoS-атаках с использованием вредоносного ПО MegaMedusa Machine. Однако с сентября группа расширила свою деятельность, включив в нее нацеливание на операционные технологии и системы промышленного управления (Operational Technology/Industrial Control Systems, OT/ICS), публикацию конфиденциальных данных и даже коммерческие предложения, включая услуги ransomware-as-a-service (RaaS) и взлом по заказу. Аналитики отмечают, что TwoNet активно взаимодействует с другими группами, такими как CyberTroops и OverFlame, образуя слабо связанные альянсы, которые обмениваются инструментами, целевой информацией и участниками.
Помимо атаки TwoNet, исследователи зафиксировали другие инциденты, связанные с целенаправленным сканированием и манипуляциями промышленными системами. В марте 2025 года два IP-адреса, связанных с провайдером PQ Hosting Plus SRL из Молдовы, который ранее ассоциировался с пуленепробиваемой хостинговой инфраструктурой, использовали уязвимость CVE-2021-26828 для загрузки веб-шелла на систему управления. Еще одна серия атак в феврале исходила из Ирана и включала сканирование протокола Modbus, манипуляции с параметрами контроллеров и взаимодействие с веб-серверами и протоколом S7comm. Эти действия демонстрируют растущий интерес злоумышленников к промышленным системам и использование как публичных инструментов, таких как Metasploit, так и ручных методов эксплуатации.
Данные инциденты подчеркивают несколько ключевых тенденций в области кибербезопасности критической инфраструктуры.
- Хактивистские группы все чаще переключаются с традиционных DDoS-атак и дефейсментов на целевые операции против OT/ICS, что повышает риски для энергетики, водоснабжения и других ключевых отраслей.
- Формирование альянсов между группами ускоряет обмен тактиками, методами и процедурами (Tactics, Techniques, and Procedures, TTP), позволяя менее опытным группам быстро наращивать возможности.
- Несмотря на кратковременность существования многих групп, их участники часто продолжают деятельность под новыми брендами, что требует отслеживания не только названий, но и инфраструктуры, связей и методов.
Индикаторы компрометации
IPv4
- 2.181.103.232
- 212.83.190.55
- 45.14.247.87
- 45.157.234.199
- 5.106.148.199
- 77.91.122.234
- 80.210.133.38
- 87.150.146.207
- 92.43.161.74
- 95.90.199.75
