Хакеры атаковали в Польше вымышленную водоочистную станцию

Хакерская группировка TwoNet, ранее замеченная в организации атак типа DDoS, за последний год сменила направление своей деятельности, сосредоточившись на нарушении работы объектов промышленного значения. Исследователи компании Forescout, специализирующейся на защите корпоративных и промышленных сетей, зафиксировали попытку вторжения в поддельную водоочистную станцию, созданную как ловушку для отслеживания действий киберпреступников.

Эта операция позволила в деталях проследить поведение злоумышленников — от первого проникновения до наступления разрушительной фазы.

Инцидент произошёл в сентябре. Согласно данным Forescout, доступ к системе был получен в 8:22 утра через учётные записи с настройками по умолчанию. Уже в течение первых суток участники группы TwoNet провели попытку изучения структуры базы данных объекта, а затем — успешно выполнили серию SQL-запросов, позволивших им собрать требуемую информацию.

Далее хакеры создали учётную запись с именем Barlati и задействовали устаревшую XSS-уязвимость CVE-2021-26829, чтобы вызвать визуальное предупреждение на интерфейсе управления объектом. На экране появилось сообщение «Взломан Барлати», однако, как подчёркивают специалисты Forescout, на этом вмешательство не закончилось.

Группа удалила журналы регистрации событий и отключила систему оповещений, стремясь скрыть следы вмешательства. Кроме того, были удалены программируемые логические контроллеры (ПЛК) из перечня активных источников данных, а их параметры были изменены напрямую через интерфейс управления. Всё это происходило без попыток выхода за пределы веб-уровня — исключительно через интерфейс HMI.

По наблюдениям специалистов, последний зафиксированный вход в систему произошёл на следующий день в 11:19. За это время злоумышленники полностью контролировали процессы на объекте-ловушке, не подозревая о её поддельной природе.

В исследовании Forescout также говорится, что TwoNet изначально проявляла активность в рамках проведения DDoS-кампаний, направленных против организаций, демонстрирующих политическую или военную поддержку Украины. Однако текущие действия группировки выходят за рамки простых атак на доступность сервисов. На телеграм-канале, связанном с TwoNet, зафиксированы публикации, свидетельствующие о попытках атак на промышленные интерфейсы HMI и SCADA в разных странах.

Кроме этого, на той же платформе были обнаружены утечки персональных данных сотрудников правоохранительных структур, предложения по продаже доступа к системам SCADA на территории Польши, а также коммерческие анонсы вредоносных инструментов — от программ-вымогателей как услуги (RaaS) до услуг хакеров по найму.