佛罗里达水厂黑客攻击事件背后的水坑攻击曝光

工业网络安全公司Dragos5月初在其网站上发布文章称,其对早先发生的佛罗里达州奥兹马尔(Oldsmar)水处理厂遭受的网络攻击进行了调查,结果发现了一个水坑攻击,最初似乎是针对水务公司的。

佛罗里达水厂黑客攻击事件背后的水坑攻击曝光

2021年2月8日星期一佛罗里达州奥兹马,当时皮内拉斯县警长举行了一场新闻发布会。警长、奥兹马尔市长和城市管理者描述了2月5日该市水处理厂发生的一次针对水务的投毒事件。这一前所未有的事件在媒体和网络安全行业都引起了轰动。执法部门透露,一名黑客远程访问了奥兹玛(Oldsmar)水厂的系统,试图将某一化学物质的含量提高到可能使公众面临中毒风险的程度。
当时攻击者盗用了工厂工作人员用来远程监控系统的TeamViewer凭证。由于口令共享和其他糟糕的安全实践,黑客很容易就获得访问权限,并开始在HMI中进行未经授权的更改。幸运的是,漏洞被发现了——工作人员注意到鼠标在屏幕上移动——并避免了一场灾难。
在调查该事件时,Dragos公司的威胁搜索者注意到,佛罗里达州一家水利基础设施建设公司的网站被攻破,被设置为一个水坑。植入该网站的恶意代码收集了访问该网站的计算机上的信息。
该恶意脚本在2020年12月至2021年2月之间存在了近两个月,即该网页木马挂载了两个月,它收集了关于操作系统、CPU、浏览器、输入法、摄像头、加速计、麦克风、触点、显卡、时区、地理位置、屏幕和浏览器插件的信息。此外,它还将受害者引导到几个收集浏览器口令指纹的网站,这些指纹被一些网络防御方案用来检测感染恶意软件的主机的连接。】

佛罗里达水厂黑客攻击事件背后的水坑攻击曝光
失陷网站上有一个独特的浏览器枚举和指纹收集脚本

Dragos确定,在这两个月的时间内,超过1000台电脑进入了这个水坑,包括州和地方政府机构、市政自来水公司客户以及与水务行业相关的私人公司。被恶意代码收集信息的大多数组织都在佛罗里达州和美国的其他地方。这似乎表明,这个水坑是针对美国水务部门的一次有针对性的袭击的一部分。】

佛罗里达水厂黑客攻击事件背后的水坑攻击曝光
被收集指纹电脑在美国的地理位置

有趣的是,就在奥兹玛水厂被黑的几小时前,还有人也进入了水坑。然而,这似乎与这次高度曝光的黑客攻击没有关系。事实上,Dragos表示,他们“中等程度上相信”没有任何组织因水坑袭击而受到损害
详细情况是,Dragos利用Cymru公司的纯信号侦察的遥测技术,确定佛罗里达州奥兹马尔市网络计算机系统的一个用户在协调世界时UTC14:49分,也就是2021年2月5日上午9:49分浏览了这个被入侵的站点。据报道,2月5日上午,一名不明身份的攻击者在同一网络中入侵了水处理控制工厂的计算机,试图使用计算机系统的人机界面(HMI)毒害供水系统。
基于这些最初的事实,Dragos于2021年2月17日向客户发布了咨询警告,告知他们水坑可能针对水务公司,并提供了防御性指导和指标。咨询警报的目的是确保客户在尚未了解整个事件的情况下及时收到情报并采取行动。我们还与我们在国土安全部(DHS)的合作伙伴分享了我们的见解,以便他们在认为重要的情况下可以执行受害者通知。
对水坑攻击中使用的代码进行分析后,调查人员找到了一个名为DarkTeam Store的网络犯罪网站,该网站上有一个被名为Tofsee的恶意软件,被Dragos追踪为Tesseract的变体。

佛罗里达水厂黑客攻击事件背后的水坑攻击曝光
黑市网站darkteam.store上的浏览器枚举和指纹脚本

Dragos在其博客文章中说,“到目前为止通过取证收集到的信息,公司最好的评估是,威胁行为者在水利基础设施建设公司的站点上部署了一个水坑,以收集合法的浏览器数据,目的是提高僵尸网络恶意软件模拟合法的Web浏览器活动的能力。
该公司还指出,“我们不明白为什么对手选择这个特定的佛罗里达水建设公司的网站来入侵并托管他们的代码。有趣的是,与其他水坑攻击不同,该代码未提供利用或试图获得对受害者计算机的访问权限。威胁行为者可能会相信,与一个忙碌但受到更严格监控且拥有专门安全团队的网站相比,水利基础设施建设网站将有更多的停留时间来收集对威胁行为者的目标更为重要的数据。”Dragos指出,尽管水坑攻击似乎不是直接针对水务行业,但这一事件确实凸显了控制不可信站点的重要性,特别是在OT和ICS环境中。水务投毒事件一度引起水务行业甚至关键基础设施行业的极度恐慌,直到最近的Colonial油气管道公司的勒索事件,才盖过这它的风头。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/13148.html

发表评论

登录后才能评论