Die prorussische Hackergruppe TwoNet hat sich im September 2025 zu einer Attacke auf einen Wasserversorger bekannt und auf Telegram gefeiert. Tatsächlich sind sie aber den Sicherheitsforschern der Cybersecurity-Firma Forescout auf den Leim gegangen.
Hackergruppe fällt auf Köder rein
Wie die Forscher in einem Blog-Artikel mitgeteilt haben, handelte es sich bei dem angeblichen Wasserversorger in Wahrheit um einen sogenannten »Honeypot«. Das sind kontrollierte Umgebungen, die von außen besonders interessant wirken und solche Hackerangriffe provozieren sollen.
25:29
TikTok-Lifehacks im Check: Welche Tech-Tipps taugen wirklich was?
Auf diese Weise können Sicherheitsforscher die Angreifer unbemerkt beobachten und ihre Taktiken studieren. Die noch recht junge Hackergruppe TwoNet ist auf den Köder hereingefallen und hat sich über eine IP-Adresse eines deutschen Hosting-Providers Zugriff verschafft.
Der Zugang erfolgte über eine sehr unsichere Kombination aus Anmeldenamen und Passwort. Die Hacker konnten dadurch auf die Datenbank zugreifen und einen eigenen Benutzer erstellen. Sie nutzten diese Lücke, etwa, um die Warnmeldung »HACKED BY BARLATI, FUCK« auf der Startseite anzuzeigen.
Außerdem wurden Protokoll-Funktionen und Alarme von den Angreifern deaktiviert. Hätte es sich um einen echten Wasserversorger gehandelt, hätte das ziemlich weitreichende Konsequenzen haben können. Solche Angriffe auf die Infrastruktur von prorussischen Hackern sind ein echtes Sicherheitsrisiko.
Wenn solche Gruppen dann auf Honeypots wie den von Forescout hereinfallen, verraten sie, ohne es selbst zu merken, ihre Vorgehensweise und liefern den Forschern Hinweise auf Lücken und Fehler in Sicherheitssystemen.
Was ist das für eine Gruppe? Laut Forescout ist TwoNet eine prorussische Hackergruppe, die erst seit Januar 2025 aktiv ist. Zuerst haben sie sich auf DDoS-Attacken konzentriert. Ein erster Telegram-Kanal wurde im März gebannt.
Im September hat die Gruppe dann eine neue Gruppe erstellt, um sich zu der erfolgreichen Attacke zu bekennen. Die Hacker nutzen solche Beispiele, um Werbung für sich zu machen. In der Folge versuchen sie, weitere Attacken an interessierte Kunden zu verkaufen. Ende September war die Gruppe schon wieder inaktiv.
![Star Wars: Jetzt wissen wir, warum Anakin Skywalker nicht in Episode 9 zu sehen war [Best of GameStar]](http://images.cgames.de/images/gamestar/256/star-wars-anakin-skywalker-luke-skywalker_6185911.jpg)
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.