Un impianto idrico “violato” in diretta! L’hacktivism diventa propaganda digitale

A settembre, gli specialisti di Forescout hanno rilevato un attacco mirato al loro server honeypot, che imitava il sistema di controllo di un impianto di trattamento delle acque. Un nuovo gruppo di hacktivisti, TwoNet, che opera in un ambiente associato ad attacchi alle infrastrutture industriali, ha rivendicato la responsabilità dell’attacco.

I membri del gruppo hanno avuto accesso all’interfaccia, modificato le impostazioni, eliminato le fonti di dati e disabilitato alcuni processi senza tentare di ottenere il controllo dell’host. L’obiettivo era dimostrare la propria capacità di interferire e poi diffondere l’accusa di “aver dirottato un impianto reale” su un canale Telegram.

L’attacco è iniziato la mattina da un indirizzo IP registrato presso il provider di hosting tedesco Dataforest GmbH. L’accesso al sistema è stato ottenuto utilizzando le credenziali predefinite “admin/admin”. Dopo aver effettuato l’accesso, gli aggressori hanno tentato di eseguire query SQL per raccogliere informazioni sulla struttura del database e hanno quindi creato un nuovo account con il nome utente “BARLATI“.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Poche ore dopo, sono tornati con questo nome utente e hanno sostituito il testo nella pagina di accesso, attivando una finestra pop-up con la scritta “HACKED BY BARLATI“. Hanno contemporaneamente eliminato i controller connessi, modificato i valori dei parametri e disabilitato log e avvisi. La vulnerabilità CVE-2021-26829 è stata utilizzata per falsificare il contenuto della pagina .

TwoNet è emerso all’inizio del 2025 e ha rapidamente guadagnato visibilità grazie a una combinazione di affermazioni aggressive e attività caotiche. Inizialmente, si è specializzato in attacchi DDoS , ma in seguito si è spostato sui tentativi di interferire con i sistemi di controllo dei processi industriali. Il canale Telegram del gruppo pubblica screenshot e video presumibilmente provenienti da interfacce SCADA e HMI di varie aziende. I post menzionano l'”hacking” di pannelli solari, sistemi di riscaldamento e caldaie a biomassa in paesi europei, ma non ci sono prove a supporto di queste affermazioni. Gli analisti notano che molte delle immagini provengono da pannelli demo disponibili al pubblico.

Anche gli account TwoNet associati, tra cui BARLATI e DarkWarios, promuovevano offerte commerciali: affitto di accesso a pannelli di controllo, servizi DDoS e persino vendita di ransomware a prezzi gonfiati. Ciò suggerisce un tentativo di monetizzare l’attenzione e di presentarsi come parte di un’organizzazione più ampia. Nelle settimane precedenti la chiusura del canale, i membri del gruppo hanno annunciato alleanze con altri gruppi di hacktivisti, tra cui CyberTroops e OverFlame, consentendo loro di promuoversi a vicenda e di creare l’apparenza di una rete più ampia.

Gli esperti sottolineano che i loro honeypot hanno registrato anche altri attacchi a controller industriali e protocolli Modbus, spesso provenienti da indirizzi europei e mediorientali. In un caso, gli aggressori hanno utilizzato password predefinite e poi hanno sfruttato la vulnerabilità CVE-2021-26828 per iniettare una web shell e ottenere l’accesso alle impostazioni HMI. Un altro incidente ha coinvolto tentativi coordinati di modificare i parametri PLC tramite Modbus e S7, che avrebbero potuto potenzialmente interrompere i processi su sistemi reali.

L’analisi ha rivelato che gli aggressori utilizzano strumenti standard, come Meta Sploit e script già pronti, e il loro comportamento indica un controllo manuale e una conoscenza di base dei protocolli industriali. Questi attacchi vengono spesso eseguiti senza una scansione preventiva e spesso prendono di mira dispositivi accessibili da Internet senza protezione.

Secondo Forescout, i gruppi di hacktivisti si stanno rivolgendo sempre più a obiettivi industriali. Anche se gli attacchi segnalati non sono confermati, dimostrano una tendenza di interesse e il potenziale per attacchi ripetuti contro obiettivi reali. Le aziende del settore idrico ed energetico sono particolarmente vulnerabili, poiché l’accesso alle interfacce degli operatori o dei controllori spesso non richiede autenticazione e la registrazione e il monitoraggio vengono condotti in modo selettivo.

Gli esperti consigliano ai proprietari dei sistemi di controllo di evitare un’autenticazione debole e l’uso di password predefinite, di non esporre le interfacce direttamente su Internet, di segmentare rigorosamente le reti IT e OT, di limitare l’accesso alle porte amministrative tramite elenchi IP e di implementare il monitoraggio con un’ispezione approfondita dei pacchetti in grado di tracciare i comandi Modbus e S7. È inoltre importante prestare attenzione al traffico in uscita per evitare che i dispositivi vengano utilizzati in attacchi DDoS (Distributed Denial of Service).

L’hacktivism, secondo Forescout, sta diventando un’arena in cui il prestigio informatico è più importante dei risultati. I gruppi scompaiono, cambiano nome e ricompaiono, ma i loro membri e i loro metodi rimangono. Ecco perché l’analisi honeypot sta diventando uno strumento chiave per comprendere la direzione delle nuove ondate di attacchi alle infrastrutture industriali.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.