Door: redactie - 15 oktober 2025 |
Vier weken geleden dacht de Russische hackergroep “TwoNet” succesvol te hebben ingebroken bij een Nederlands waterzuiveringsbedrijf. Wat ze niet wisten: het ging helemaal niet om een echt waterzuiveringsbedrijf. Ze hadden een aanval uitgevoerd op een zorgvuldig nagebootste waterzuiveringsinstallatie, ook wel een honeypot genoemd, van Forescout in Eindhoven.
Deze digitale val werd speciaal opgezet om pogingen tot het hacken van kritieke infrastructuur te lokken en te analyseren. De groep TwoNet claimde verantwoordelijkheid voor de aanval via hun Telegram-kanaal en probeerde zelfs ten onrechte de eer op te eisen voor een echte aanval.
In september 2025 wist TwoNet toegang te krijgen tot de mens-machine-interface (HMI) van de nagebootste installatie. De aanvallers logden in met standaardgegevens en voerden acties uit zoals het aanpassen van de interface, het verstoren van processen en het manipuleren van instellingen. Ook probeerden ze logs en alarmen uit te schakelen om detectie te vermijden. Dit soort gedrag laat zien hoe kwetsbaar industriële systemen kunnen zijn zonder goede beveiliging.
De aanval begon vroeg in de ochtend vanuit een Duits IP-adres. De hackers gebruikten SQL-query’s om systeemgegevens te achterhalen. Later creëerden ze een nieuw account om hun acties voort te zetten. Dit alles werd vastgelegd door de honeypot, die gedetailleerde inzichten gaf in hun aanpak.
TwoNet is een relatief nieuwe speler in de wereld van pro-Russische hackers. Ze verschenen begin 2025 op Telegram en richtten zich aanvankelijk op DDoS-aanvallen. Later verlegden ze hun focus naar industriële systemen, zoals HMI- en SCADA-interfaces van kritieke infrastructuur in landen die zij als vijandig beschouwen. Daarnaast delen ze gestolen gegevens en bieden ze diensten aan, zoals ransomware en hack-opdrachten.
Op hun kanaal publiceerden ze claims over aanvallen op onder meer zonne-energiecentrales en biomassaketels. Sommige beweringen bleken overdreven of onbevestigd, maar de intentie om schade toe te brengen aan operationele technologie blijft duidelijk. Eind september stopte TwoNet plots met activiteiten, al is de kans groot dat de leden onder een andere naam verdergaan.
Het gebruik van een honeypot biedt waardevolle inzichten in de tactieken van groepen zoals TwoNet. Door systemen bewust bloot te stellen aan het internet, kunnen onderzoekers aanvallen in realtime volgen. Dit helpt bij het ontwikkelen van betere verdedigingsstrategieën. In dit geval toonde de nagebootste waterzuiveringsinstallatie aan hoe hackers standaardwachtwoorden misbruiken en interfaces manipuleren. Het belang van dit soort onderzoek groeit nu aanvallers steeds vaker industriële systemen als doelwit kiezen.
Een eerdere honeypot, vermomd als een zorgkliniek, trok cybercriminelen aan die ransomware probeerden te installeren.
Naar aanleiding van de aanval zijn enkele aanbevelingen opgesteld om organisaties te beschermen. Zwakke authenticatie moet worden uitgebannen en directe internettoegang tot systemen moet worden vermeden. Daarnaast is het belangrijk om netwerken goed te scheiden en beheerinterfaces te versterken. Alle IoT- en OT-interfaces moeten beveiligd zijn met sterke, unieke wachtwoorden.
Ook wordt aangeraden om systemen te monitoren met diepgaande pakketinspectie die specifieke protocollen herkent, zoals Modbus. Dit kan helpen om verdachte activiteiten, zoals ongeoorloofde wijzigingen, snel op te sporen. Organisaties moeten alert zijn op uitgaand verkeer dat mogelijk op kwaadaardige acties wijst.
Door dit soort incidenten te bestuderen, kunnen organisaties hun beveiliging aanscherpen. Het blijft een kat-en-muisspel tussen aanvallers en verdedigers, waarbij elk detail telt.
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.
IndustrieVandaag is een onafhankelijk platform met het laatste nieuws van vandaag over de procesindustrie, industrial processing, productie industrie, maakindustrie en elektronica industrie.
Neem contact met ons op:
Tel +31 (0)23 737 07 63
Email via contactpagina
