Пароль «admin/admin» снова в деле. Хакеры отключили воду для целого города. Но есть нюанс...
NewsMakerДумали, что остановили насосы. На деле — просто потревожили специалистов.
Специалисты Forescout зафиксировали в сентябре целевую атаку на свой honeypot-сервер, имитирующий систему управления водоочистным предприятием . Ответственность за взлом взяла новая хактивистская группа TwoNet, которая действует в среде, связанной с атаками на объекты промышленной инфраструктуры. Участники группы вошли в интерфейс оператора, изменили настройки, удалили источники данных и вывели из строя часть процессов, не пытаясь получить контроль над хостом. Целью была демонстрация возможности вмешательства и последующее распространение заявления о «поражении реального объекта» в Telegram-канале.
Атака началась утром с IP-адреса, зарегистрированного у немецкого хостинг-провайдера dataforest GmbH. Доступ к системе был получен с использованием стандартных учётных данных «admin/admin». После входа злоумышленники пытались провести SQL-запросы для сбора информации о структуре баз данных, а затем создали новый аккаунт под именем BARLATI. Через несколько часов под этим пользователем они вернулись и заменили текст на странице входа, вызвав всплывающее окно с надписью «HACKED BY BARLATI». Одновременно были удалены подключённые контроллеры, изменены значения параметров и отключены журналы и тревоги. Для подмены содержимого страницы использовалась уязвимость CVE-2021-26829 .
TwoNet появилась в начале 2025 года и быстро стала заметна благодаря сочетанию агрессивных заявлений и хаотичной активности. Первоначально она специализировалась на DDoS-атаках , но позже перешла к попыткам вмешательства в системы управления технологическими процессами. На Telegram-канале группы публикуются скриншоты и видео якобы из интерфейсов SCADA и HMI различных предприятий. В постах упоминаются «взломы» солнечных панелей, отопительных систем и биомассовых котлов в странах Европы, но подтверждений этим заявлениям нет. Многие изображения, как отмечают аналитики, взяты из публично доступных демо-панелей.
Связанные аккаунты TwoNet, включая BARLATI и DarkWarios, также продвигали коммерческие предложения: аренду доступа к панелям управления, DDoS-услуги и даже продажу программы вымогателя с завышенной ценой. Это указывает на попытку монетизировать внимание и выдать себя за более масштабное объединение. В последние недели перед закрытием каналов участники группы заявили о союзе с другими хактивистскими командами, включая CyberTroops и OverFlame, что позволило им продвигать друг друга и создавать видимость широкой сети.
Специалисты отмечают, что в их ханипотах фиксировались и другие атаки на промышленные контроллеры и протоколы Modbus, нередко с европейских и ближневосточных адресов. В одном случае злоумышленники использовали дефолтные пароли, а затем эксплуатировали уязвимость CVE-2021-26828 , чтобы внедрить веб-оболочку и получить доступ к настройкам HMI. В другом эпизоде были зафиксированы координированные попытки изменить параметры ПЛК через Modbus и S7, что потенциально могло бы остановить процессы в настоящих системах.
Проведённый анализ показал: злоумышленники используют стандартные инструменты — Metasploit и готовые скрипты, — а характер их действий указывает на ручное управление и базовое знание промышленных протоколов. Такие атаки нередко проводятся без предварительного сканирования и часто направлены против устройств, доступных из интернета без защиты.
По данным Forescout, тенденция перехода хактивистских групп к промышленным целям усиливается. Даже если заявленные взломы не подтверждаются, они демонстрируют направление интереса и возможность повторения атак уже против реальных объектов. Особенно уязвимы предприятия водоснабжения и энергетики, где доступ к интерфейсам операторов или контроллеров нередко не требует аутентификации, а журналирование и мониторинг ведутся выборочно.
Специалисты советуют владельцам систем управления исключить слабую аутентификацию и использование стандартных паролей, не выводить интерфейсы напрямую в интернет, жёстко сегментировать сети IT и OT, ограничивать доступ к административным портам по IP-спискам, а также применять мониторинг с глубокой проверкой пакетов, способный отслеживать команды Modbus и S7. Важно обращать внимание и на исходящий трафик, чтобы устройства не использовались в распределённых атаках.
Хактивизм, по наблюдениям Forescout, становится ареной, где киберпрестиж важнее результата. Группы исчезают, меняют названия и снова появляются, но их участники и методики остаются. Именно поэтому анализ ловушечных систем становится ключевым инструментом для понимания того, куда направлены новые волны атак на промышленную инфраструктуру.
Специалисты Forescout зафиксировали в сентябре целевую атаку на свой honeypot-сервер, имитирующий систему управления водоочистным предприятием . Ответственность за взлом взяла новая хактивистская группа TwoNet, которая действует в среде, связанной с атаками на объекты промышленной инфраструктуры. Участники группы вошли в интерфейс оператора, изменили настройки, удалили источники данных и вывели из строя часть процессов, не пытаясь получить контроль над хостом. Целью была демонстрация возможности вмешательства и последующее распространение заявления о «поражении реального объекта» в Telegram-канале.
Атака началась утром с IP-адреса, зарегистрированного у немецкого хостинг-провайдера dataforest GmbH. Доступ к системе был получен с использованием стандартных учётных данных «admin/admin». После входа злоумышленники пытались провести SQL-запросы для сбора информации о структуре баз данных, а затем создали новый аккаунт под именем BARLATI. Через несколько часов под этим пользователем они вернулись и заменили текст на странице входа, вызвав всплывающее окно с надписью «HACKED BY BARLATI». Одновременно были удалены подключённые контроллеры, изменены значения параметров и отключены журналы и тревоги. Для подмены содержимого страницы использовалась уязвимость CVE-2021-26829 .
TwoNet появилась в начале 2025 года и быстро стала заметна благодаря сочетанию агрессивных заявлений и хаотичной активности. Первоначально она специализировалась на DDoS-атаках , но позже перешла к попыткам вмешательства в системы управления технологическими процессами. На Telegram-канале группы публикуются скриншоты и видео якобы из интерфейсов SCADA и HMI различных предприятий. В постах упоминаются «взломы» солнечных панелей, отопительных систем и биомассовых котлов в странах Европы, но подтверждений этим заявлениям нет. Многие изображения, как отмечают аналитики, взяты из публично доступных демо-панелей.
Связанные аккаунты TwoNet, включая BARLATI и DarkWarios, также продвигали коммерческие предложения: аренду доступа к панелям управления, DDoS-услуги и даже продажу программы вымогателя с завышенной ценой. Это указывает на попытку монетизировать внимание и выдать себя за более масштабное объединение. В последние недели перед закрытием каналов участники группы заявили о союзе с другими хактивистскими командами, включая CyberTroops и OverFlame, что позволило им продвигать друг друга и создавать видимость широкой сети.
Специалисты отмечают, что в их ханипотах фиксировались и другие атаки на промышленные контроллеры и протоколы Modbus, нередко с европейских и ближневосточных адресов. В одном случае злоумышленники использовали дефолтные пароли, а затем эксплуатировали уязвимость CVE-2021-26828 , чтобы внедрить веб-оболочку и получить доступ к настройкам HMI. В другом эпизоде были зафиксированы координированные попытки изменить параметры ПЛК через Modbus и S7, что потенциально могло бы остановить процессы в настоящих системах.
Проведённый анализ показал: злоумышленники используют стандартные инструменты — Metasploit и готовые скрипты, — а характер их действий указывает на ручное управление и базовое знание промышленных протоколов. Такие атаки нередко проводятся без предварительного сканирования и часто направлены против устройств, доступных из интернета без защиты.
По данным Forescout, тенденция перехода хактивистских групп к промышленным целям усиливается. Даже если заявленные взломы не подтверждаются, они демонстрируют направление интереса и возможность повторения атак уже против реальных объектов. Особенно уязвимы предприятия водоснабжения и энергетики, где доступ к интерфейсам операторов или контроллеров нередко не требует аутентификации, а журналирование и мониторинг ведутся выборочно.
Специалисты советуют владельцам систем управления исключить слабую аутентификацию и использование стандартных паролей, не выводить интерфейсы напрямую в интернет, жёстко сегментировать сети IT и OT, ограничивать доступ к административным портам по IP-спискам, а также применять мониторинг с глубокой проверкой пакетов, способный отслеживать команды Modbus и S7. Важно обращать внимание и на исходящий трафик, чтобы устройства не использовались в распределённых атаках.
Хактивизм, по наблюдениям Forescout, становится ареной, где киберпрестиж важнее результата. Группы исчезают, меняют названия и снова появляются, но их участники и методики остаются. Именно поэтому анализ ловушечных систем становится ключевым инструментом для понимания того, куда направлены новые волны атак на промышленную инфраструктуру.