Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Ottobre 2025 09:50
A settembre, gli specialisti di Forescout hanno rilevato un attacco mirato al loro server honeypot, che imitava il sistema di controllo di un impianto di trattamento delle acque. Un nuovo gruppo di hacktivisti, TwoNet, che opera in un ambiente associato ad attacchi alle infrastrutture industriali, ha rivendicato la responsabilità dell’attacco.
I membri del gruppo hanno avuto accesso all’interfaccia, modificato le impostazioni, eliminato le fonti di dati e disabilitato alcuni processi senza tentare di ottenere il controllo dell’host. L’obiettivo era dimostrare la propria capacità di interferire e poi diffondere l’accusa di “aver dirottato un impianto reale” su un canale Telegram.
L’attacco è iniziato la mattina da un indirizzo IP registrato presso il provider di hosting tedesco Dataforest GmbH. L’accesso al sistema è stato ottenuto utilizzando le credenziali predefinite “admin/admin”. Dopo aver effettuato l’accesso, gli aggressori hanno tentato di eseguire query SQL per raccogliere informazioni sulla struttura del database e hanno quindi creato un nuovo account con il nome utente “BARLATI“.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Poche ore dopo, sono tornati con questo nome utente e hanno sostituito il testo nella pagina di accesso, attivando una finestra pop-up con la scritta “HACKED BY BARLATI“. Hanno contemporaneamente eliminato i controller connessi, modificato i valori dei parametri e disabilitato log e avvisi. La vulnerabilità CVE-2021-26829 è stata utilizzata per falsificare il contenuto della pagina .
TwoNet è emerso all’inizio del 2025 e ha rapidamente guadagnato visibilità grazie a una combinazione di affermazioni aggressive e attività caotiche. Inizialmente, si è specializzato in attacchi DDoS , ma in seguito si è spostato sui tentativi di interferire con i sistemi di controllo dei processi industriali. Il canale Telegram del gruppo pubblica screenshot e video presumibilmente provenienti da interfacce SCADA e HMI di varie aziende. I post menzionano l'”hacking” di pannelli solari, sistemi di riscaldamento e caldaie a biomassa in paesi europei, ma non ci sono prove a supporto di queste affermazioni. Gli analisti notano che molte delle immagini provengono da pannelli demo disponibili al pubblico.
Anche gli account TwoNet associati, tra cui BARLATI e DarkWarios, promuovevano offerte commerciali: affitto di accesso a pannelli di controllo, servizi DDoS e persino vendita di ransomware a prezzi gonfiati. Ciò suggerisce un tentativo di monetizzare l’attenzione e di presentarsi come parte di un’organizzazione più ampia. Nelle settimane precedenti la chiusura del canale, i membri del gruppo hanno annunciato alleanze con altri gruppi di hacktivisti, tra cui CyberTroops e OverFlame, consentendo loro di promuoversi a vicenda e di creare l’apparenza di una rete più ampia.
Gli esperti sottolineano che i loro honeypot hanno registrato anche altri attacchi a controller industriali e protocolli Modbus, spesso provenienti da indirizzi europei e mediorientali. In un caso, gli aggressori hanno utilizzato password predefinite e poi hanno sfruttato la vulnerabilità CVE-2021-26828 per iniettare una web shell e ottenere l’accesso alle impostazioni HMI. Un altro incidente ha coinvolto tentativi coordinati di modificare i parametri PLC tramite Modbus e S7, che avrebbero potuto potenzialmente interrompere i processi su sistemi reali.
L’analisi ha rivelato che gli aggressori utilizzano strumenti standard, come Meta Sploit e script già pronti, e il loro comportamento indica un controllo manuale e una conoscenza di base dei protocolli industriali. Questi attacchi vengono spesso eseguiti senza una scansione preventiva e spesso prendono di mira dispositivi accessibili da Internet senza protezione.
Secondo Forescout, i gruppi di hacktivisti si stanno rivolgendo sempre più a obiettivi industriali. Anche se gli attacchi segnalati non sono confermati, dimostrano una tendenza di interesse e il potenziale per attacchi ripetuti contro obiettivi reali. Le aziende del settore idrico ed energetico sono particolarmente vulnerabili, poiché l’accesso alle interfacce degli operatori o dei controllori spesso non richiede autenticazione e la registrazione e il monitoraggio vengono condotti in modo selettivo.
Gli esperti consigliano ai proprietari dei sistemi di controllo di evitare un’autenticazione debole e l’uso di password predefinite, di non esporre le interfacce direttamente su Internet, di segmentare rigorosamente le reti IT e OT, di limitare l’accesso alle porte amministrative tramite elenchi IP e di implementare il monitoraggio con un’ispezione approfondita dei pacchetti in grado di tracciare i comandi Modbus e S7. È inoltre importante prestare attenzione al traffico in uscita per evitare che i dispositivi vengano utilizzati in attacchi DDoS (Distributed Denial of Service).
L’hacktivism, secondo Forescout, sta diventando un’arena in cui il prestigio informatico è più importante dei risultati. I gruppi scompaiono, cambiano nome e ricompaiono, ma i loro membri e i loro metodi rimangono. Ecco perché l’analisi honeypot sta diventando uno strumento chiave per comprendere la direzione delle nuove ondate di attacchi alle infrastrutture industriali.
RedazioneSviluppatori e amministratori di tutto il mondo stanno aggiornando urgentemente i propri server a seguito della scoperta di una vulnerabilità critica in React Server, che consente agli aggressori di ...
Il panorama della sicurezza informatica moderna è imprescindibile dalla conoscenza della topografia del Dark Web (DW), un incubatore di contenuti illeciti essenziale per la criminalità organizzata. ...
Dalla pubblicazione pubblica di ChatGPT nel novembre 2022, l’intelligenza artificiale (AI) è stata integrata in molti aspetti della società umana. Per i proprietari e gli operatori delle infrastru...
Un servizio di botnet chiamato Aisuru, offre un esercito di dispositivi IoT e router compromessi, per sferrare attacchi DDoS ad alto traffico. In soli tre mesi, la massiccia botnet Aisuru ha lanciato ...
Un’indagine congiunta di BCA LTD, NorthScan e ANY.RUN ha svelato uno degli schemi di hacking più segreti della Corea del Nord. Con il pretesto di un reclutamento di routine, il team ha monitorato c...
