【安全资讯】亲俄黑客组织TwoNet攻击关键基础设施，误入诱饵水处理厂

概要：

亲俄黑客组织TwoNet近期将攻击目标转向关键基础设施，声称成功入侵一家水处理设施，但实际落入网络安全公司Forescout设置的诱饵系统。这一事件揭示黑客仅用26小时即从初始访问升级到破坏性操作，凸显关键基础设施面临的严峻网络威胁。

主要内容：

Forescout研究人员监测发现，TwoNet组织于9月某日8时22分通过尝试默认凭证成功获得初始访问权限。入侵首日，攻击者先尝试枚举系统数据库，随后通过精确的SQL查询语句成功突破数据库防线，并创建名为“Barlati”的新用户账户。

攻击者利用旧版存储型跨站脚本漏洞（CVE-2021-26829），在人机界面触发显示“Hacked by Barlati”的弹窗警告。更严重的是，他们移除了连接的可编程逻辑控制器实时数据源，篡改HMI中的PLC设定值，直接干扰工业流程并禁用日志警报系统。

值得注意的是，攻击全程集中于Web应用层，未尝试权限提升或底层主机利用。TwoNet最初以针对乌克兰支持者的DDoS攻击闻名，现通过Telegram频道公然叫卖勒索软件即服务、黑客雇佣及SCADA系统初始访问权限，目标直指“敌国”关键基础设施。

此事件印证了黑客组织从传统DDoS攻击向工控系统操作的转型趋势。Forescout建议关键基础设施运营商强化认证机制、实施网络分段，并部署协议级检测方案以应对HMI异常变更。