佛羅里達水處理工廠事件調查報告:發現水坑攻擊
工控安全安全公司Dragos對佛羅里達州奧爾德斯馬市水處理廠最近的網絡攻擊進行的調查中發現了一個水坑攻擊,該攻擊最初似乎是針對水處理基礎設施的。
執法部門在今年2月初透露,黑客獲得了對奧爾茲瑪(Oldsmar)水處理工廠系統的訪問權限,并試圖將某種化學物質的含量提高到可能使公眾面臨中毒風險的程度。
攻擊者利用了TeamViewer,因為該工廠的員工一直在使用TeamViewer遠程監視和控制系統。由于密碼共享和其他不良的安全做法,黑客很容易獲得訪問權限并開始在HMI中進行未經授權的更改。幸運的是,工作人員注意到鼠標在屏幕上(自行)移動,發現攻擊行為從而避免了災難。
在調查此事時,Dragos的威脅獵人注意到,佛羅里達一家水利基礎設施建設公司的網站也被入侵,并被設置用于水坑攻擊。攻擊者在該網站上植入惡意代碼,采集來訪計算機上的信息。
從2020年12月到2021年2月,該水坑攻擊惡意腳本存在了將近兩個月,并且收集了有關操作系統、CPU、瀏覽器、輸入法、攝像頭、加速度計、麥克風、接觸點、視頻卡、時區、地理位置、屏幕信息以及瀏覽器插件等信息。此外,它還將受害者定向到幾個收集瀏覽器密碼指紋的站點,一些網絡防御解決方案使用這些指紋來檢測是否來自感染了惡意軟件的主機的連接。
Dragos確定,在兩個月的時間內,超過1,000臺計算機訪問了這個水坑,其中包括州和地方政府組織、市政水務客戶以及與水處理行業相關的私人公司。惡意代碼描述的大多數組織都在佛羅里達州和美國其他地區。這似乎表明這是針對美國水務部門的有針對性攻擊的一部分。
有趣的是,在奧爾茲瑪(Oldsmar)自來水廠被黑客入侵前幾小時,該水廠的一位工作人員恰好訪問過“水坑”網站。但這似乎與自來水廠的黑客攻擊無關。實際上,Dragos在報告中指出,它有“中等信心”,認定沒有組織因水坑攻擊而受到損害。
對水坑攻擊中使用的代碼進行分析后,安全調查人員將其關聯到一個名為DarkTeam Store的網絡犯罪網站,該網站的一部分感染了名為Tofsee的惡意軟件,是Dragos跟蹤的Tesseract的變種。
Dragos在博客文章中指出:“根據到目前為止我們收集的數字取證信息,Dragos的最佳評估是,攻擊者在水利基礎設施建設公司的站點上部署了一個水坑,以收集合法的瀏覽器數據,目的是提高僵尸網絡惡意軟件模擬合法的Web瀏覽器活動的能力”。
Dragos還指出:“我們不明白攻擊者為什么選擇入侵佛羅里達水利建筑公司的站點來托管其代碼。有趣的是,與其他水坑攻擊不同,該代碼未提供利用或試圖獲得對受害者計算機的訪問權限(僅收集信息)。攻擊者可能認為,與一個忙碌但受到更嚴格監控且擁有專門安全團隊的網站相比,水利基礎設施建設網站將有更寬松的停留時間來收集攻擊目標的重要數據。”
Dragos指出,盡管水坑攻擊似乎并非直接針對自來水廠,但該事件確實凸顯了對不受信任站點實施訪問控制的重要性,尤其是在OT和ICS環境中。
參考資料:https://www.dragos.com/blog/industry-news/a-new-water-watering-hole/
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
