Hacktivistas pró-Rússia “reivindicam” ataque a pote de mel de concessionária de água – Against Invaders – Notícias de CyberSecurity para humanos.

Hacktivistas pró-Rússia "reivindicam" ataque a pote de mel de concessionária de água - Against Invaders - Notícias de CyberSecurity para humanos.

Uma gangue hacktivista alinhada à Rússia foi enganada para atacar um pote de mel disfarçado de serviço de tratamento de água, revelou a empresa de segurança cibernética Forescout.

A gangue, TwoNet, reivindicou a responsabilidade por um ataque à concessionária de tratamento de água, acreditando que havia realizado um hack real, em seu canal Telegram.

O grupo se conectou à interface homem-máquina (HMI) do honeypot para uma variedade de propósitos, incluindo desfiguração, interrupção de processos, manipulação e evasão.

A TwoNet usou credenciais padrão para acesso inicial e explorou pontos fracos no honeypot industrial para realizar essas atividades.

Os pesquisadores disseram que o ataque reflete as táticas usadas por outros grupos hacktivistas que mudaram de DDoS e desfiguração para operações de tecnologia operacional (OT) e sistema de controle industrial (ICS).

Honeypots são sistemas de isca deliberadamente expostos à Internet para atrair invasores e capturar suas táticas.

A Forescout observou que é a primeira vez que um agente de ameaças reivindica publicamente um ataque que ocorreu em um de seus honeypots.

Grupo Hacktivista TwoNet

O TwoNet apareceu pela primeira vez em um canal do Telegram em janeiro de 2025, inicialmente com foco em ataques DDoS aproveitando o malware MegaMedusa Machine.

Em setembro, o grupo lançou um novo canal no Telegram para reivindicar atividades, com uma conta separada alternando links de convite para resistir à remoção.

As mensagens neste canal indicam que o grupo mudou de DDoS puro para uma combinação mais ampla de atividades, incluindo segmentação OT/ICS.

Uma mensagem postada em um grupo afiliado, CyberTroops, afirmou que a TwoNet estava encerrando as operações em 30 de setembro.

Os pesquisadores disseram que essa atividade faz parte de uma tendência mais ampla no Ecossistema hacktivista, onde há formações regulares de alianças e rebranding.

“Isso ressalta a natureza efêmera do ecossistema em que canais e grupos têm vida curta, enquanto as operadoras normalmente persistem reformulando a marca, mudando alianças, juntando-se a outros grupos, aprendendo novas técnicas ou visando outras organizações”, observou Forescout.

Análise do ataque do honeypot

O ataque ao honeypot Forescout ocorreu logo após a TwoNet lançar seu novo canal Telegram em setembro.

A intrusão veio de um endereço IP vinculado a um provedor de hospedagem alemão. Nenhuma atividade maliciosa anterior foi vinculada ao endereço.

O invasor parecia usar o navegador Firefox no sistema operacional Linux. Inicialmente, eles fizeram login na IHM do honeypot usando as credenciais padrão admin/admin.

O agente da ameaça então tentou enumerar o banco de dados, extraindo com êxito as informações do esquema com um segundo conjunto de consultas. Os pesquisadores acreditam que essas consultas foram inseridas diretamente por meio da interface da web da HMI.

Em seguida, o invasor criou uma nova conta de usuário ‘BARLATI’, que foi usada para fazer login na IHM por um período de cerca de 20 horas. Durante essa janela, eles realizaram quatro ações:

  • Desfiguração: Exploração da vulnerabilidade CVE-2021-26829 para alterar a descrição da página de login da IHM para: [<]script>alert(“HACKEADO POR BARLATI, FODA-SE”)
  • Interrupção do processo: Exclusão de PLCs conectados como fontes de dados, desativando atualizações em tempo real
  • Manipulação: Alteração dos pontos de ajuste do PLC através da IHM
  • Evasão: Modificação das configurações do sistema para desativar logs e alarmes

“O invasor não tentou escalonamento de privilégios ou exploração do host subjacente, concentrando-se exclusivamente na camada de aplicativo da web da IHM”, escreveram os pesquisadores no Forescout relatório publicado em 9 de outubro.

Recomendações de segurança para operadores de OT

Os pesquisadores estabeleceram uma série de recomendações para as equipes de segurança mitigarem as táticas usadas no ataque honeypot TwoNet. Esses incluem:

  • Remova os sistemas OT da exposição direta na Internet
  • Use muita segmentação
  • Exigir autenticação em todas as interfaces de administração de IoT/OT
  • Desative contas anônimas/padrão e imponha credenciais fortes e exclusivas
  • Implante a inspeção profunda de pacotes (DPI) que cria alertas para: exploração, adivinhação de senha, gravações não autorizadas e alterações na IHM
  • Monitore dispositivos usados em ataques distribuídos, como câmeras e roteadores, e tráfego incomum de segmentos de OT

Eles acrescentaram que o caso demonstra que as alegações dos agentes de ameaças devem ser tratadas com cautela.

“Canais hacktivistas misturam incid genuínoents com exagero. O monitoramento ainda gera valor: intenção, ferramentas, seleção de alvos e alianças emergentes”, aconselharam os pesquisadores.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.