Russische hacktivisten vallen decoy waterzuiveringsinstallatie aan
Een pro-Russische hacktivistische groepering genaamd TwoNet heeft in september een aanval uitgevoerd op een honeypot van cybersecuritybedrijf Forescout. Deze decoy was opgezet als een waterzuiveringsinstallatie en het incident toont aan dat hacktivisten hun focus steeds meer verleggen naar Operationele Technologie (OT) en Industriële Controlesystemen (ICS).
Forescout's onderzoeksteam, Vedere Labs, meldt dat de aanval, die kort na de lancering van TwoNet's Telegram-kanaal plaatsvond, leidde tot een valse claim over een succesvolle inbraak in de echte wereld.
Anatomie van de aanval
De inbreuk begon toen de aanvallers inlogden op de Human-Machine Interface (HMI) van de installatie met standaardwachtwoorden (admin/admin).
De aanval omvatte vier fasen:
- Informatieverzameling: De aanvallers probeerden database-informatie uit het systeem te halen met behulp van SQL-query's via de webinterface.
- Defacement: Ze exploiteerden een bekende kwetsbaarheid (CVE-2021-26829) om de inlogpagina van de HMI te wijzigen met een expliciete, beledigende pop-up.
- Procesdisruptie: De aanvallers verwijderden verbonden Programmable Logic Controllers (PLC’s) als gegevensbronnen, waardoor real-time updates werden uitgeschakeld.
- Manipulatie en Ontduiking: Ze wijzigden PLC setpoints via de HMI en pasten systeeminstellingen aan om logs en alarmen uit te schakelen.
De acties toonden een focus op de webapplicatielaag van de HMI zonder pogingen tot privilege-escalatie op de onderliggende host.
Opkomst van TwoNet en allianties
TwoNet verscheen begin 2025 in het pro-Russische hacktivistische ecosysteem en richtte zich initieel op Distributed Denial of Service (DDoS) aanvallen. Sinds september is de groep echter overgestapt op een breder scala aan activiteiten, waaronder het targeten van OT/ICS, doxing en zelfs het aanbieden van Ransomware-as-a-Service (RaaS).
De groep wordt beschouwd als een nieuwkomer die profiteert van allianties met meer gevestigde hacktivistische netwerken, zoals CyberTroops en OverFlame. Deze allianties stellen opkomende groepen in staat om doelwitten, tactieken en infrastructuur te delen, waardoor hun capaciteit snel toeneemt.
Forescout waarschuwt dat de focus van deze groepen op kritieke infrastructuur, met name de water- en energiesector, een serieuze bedreiging vormt. De waarnemingen in de honeypot, inclusief aanvallen gelinkt aan Moldavische en Iraanse IP-adressen die zich richtten op Modbus- en S7-protocollen, bevestigen de kwetsbaarheid van internet-geëxposeerde industriële systemen.
Mitigatie en aanbevelingen
Het incident benadrukt de noodzaak voor organisaties die afhankelijk zijn van OT/ICS om hun verdediging aan te scherpen.
De onderzoekers dringen aan op de volgende maatregelen:
- Zwakke authenticatie elimineren: Verwijder standaardwachtwoorden en dwing sterke, unieke inloggegevens af op alle OT/ICS- en HMI-interfaces.
- Directe blootstelling werwijderen: Plaats OT/ICS-apparaten niet op het openbare internet. Gebruik VPN's of jump hosts voor remote access.
- Strenge segmentatie: Scheid IT-, IoT- en OT-netwerken strikt om laterale beweging van aanvallers te beperken.
- OT-Bewuste Monitoring: Gebruik Deep Packet Inspection (DPI) die protocol-bewuste detectie (zoals Modbus en S7) biedt om onbevoegde schrijfbewerkingen, password guessing en HMI-wijzigingen te signaleren.
Hoewel de TwoNet-kanalen inmiddels zijn opgedoekt – wat de vluchtige aard van hacktivistische merken weerspiegelt – waarschuwt Forescout dat de aanvallers vaak rebranden en elders hun tactieken voortzetten. Het is daarom cruciaal om mensen, infrastructuur en allianties te volgen, en niet alleen de namen van de groepen.
