Hakeri napali postrojenje za vodu i upali u zamku

09. 10. 2025.09. 10. 2025. Milan Živković

Proruska haktivistička grupa pod nazivom TwoNet se u manje od godinu dana preusmerila sa pokretanja DDoS napada na napade na kritičnu infrastrukturu.

Nedavno su ovi napadači objavili da su izveli napad na postrojenje za preradu vode — ali se ispostavilo da je reč o realističnom „honeypot“ sistemu, lažnom postrojenju koje su bezbednosni istraživači namerno postavili kako bi pratili poteze napadača.

Do kompromitovanja ovog mamca došlo je u septembru, a istraga je pokazala da je grupi trebalo samo 26 sati da pređe od početnog pristupa do pokušaja sabotaže sistema.

Možda je postrojenje bilo lažno, ali je pretnja prava. Istraživači kompanije Forescout, specijalizovane za sajber-bezbednost IT i industrijskih mreža, pratili su aktivnosti TwoNet-a u napadu na nepostojeći pogon za preradu vode. Tokom prvog dana napada, grupa je pokušavala da pretraži baze podataka sistema — i uspela je iz drugog pokušaja, nakon što je pogodila prave SQL komande. Napadač je zatim kreirao novi korisnički nalog pod imenom Barlati i iskoristio staru ranjivost u sistemu (CVE-2021-26829) da bi prikazao poruku na ekranu operatera: „Hacked by Barlati“.

Pročitajte i: Anthropic-ova veštačka inteligencija iskorišćena u sajbernapadu kineskih hakera

Ubrzo su prešli na ozbiljnije korake: pokušali su da poremete rad postrojenja, obrišu logove i deaktiviraju alarme. Prema Forescout-u, TwoNet je – ne znajući da je sve samo mamac – isključio real-time ažuriranja, uklonio PLC kontrolere sa liste izvora podataka i izmenio parametre u interfejsu postrojenja.

TwoNet je prvobitno bio poznat kao još jedna proruska haktivistička grupa koja je pokretala DDoS napade na organizacije koje podržavaju Ukrajinu. Sada deluju mnogo šire. Forescout je na njihovom Telegram kanalu pronašao dokaze da je grupa pokušala da napadne HMI i SCADA interfejse organizacija iz „neprijateljskih zemalja“.

Takođe su objavljivali lične podatke obaveštajnih i policijskih službenika, kao i komercijalne ponude za cybercrime usluge poput ransomware-a kao servisa (RaaS), iznajmljivanja hakera, ili prodaje pristupa SCADA sistemima u Poljskoj. „Ovakav obrazac podseća na druge grupe koje su se pomerile sa ‘tradicionalnih’ DDoS i deface napada ka OT/ICS operacijama“, navode istraživači Forescout-a.

Forescout savetuje da organizacije u sektoru kritične infrastrukture preduzmu određene korake kako bi se zaštitile na vreme: da koriste snažne autentifikacione mehanizme i da sistemi ne budu javno dostupni, da segmentiraju proizvodne mreže i uvedu IP kontrole pristupa za administrativne interfejse, da koriste detekciju svesnu protokola koja upozorava na pokušaje eksploatacije i promene u HMI sistemima.

Facebook komentari: