佛罗里达州水处理厂事件调查报告:发现水坑攻击似乎是针对水处理基础设施的。执法部门在2月初透露,黑客获得了Oldsmar水处理厂系统的访问权限,并试图将化学物质的含量提高到可能使公众面临中毒风险的水平。攻击者利用了工厂员工使用的TeamViewer来远程监控和控制系统。由于密码共享和其他不良安全措施,黑客很容易获得访问权限并开始在HMI中进行未经授权的更改。幸运的是,工作人员注意到鼠标在屏幕上(自行)移动,检测到了攻击并避免了灾难。在调查此事时,Dragos威胁猎手注意到佛罗里达州一家水利基础设施建设公司的网站也遭到入侵,并被设置用于水坑攻击。攻击者在网站上植入恶意代码以收集访问计算机的信息。从2020年12月到2021年2月,水坑攻击恶意脚本存在近两个月,收集了操作系统、CPU、浏览器、输入法、摄像头、加速度计、麦克风、触摸点、显卡、时区、地域等信息位置、屏幕信息和浏览器插件。此外,它将受害者引导至多个收集浏览器密码指纹的站点,一些Web防御解决方案使用这些站点来检测来自受恶意软件感染的主机的连接。Dragos确定,在两个月的时间里,超过1,000台计算机访问了该水坑,其中包括州和地方政府组织、市政供水客户以及与水处理行业相关的私营公司。恶意代码描述的大多数组织位于佛罗里达州和美国其他地区。这似乎表明这是针对美国水务部门的有针对性攻击的一部分。有趣的是,Oldsmar自来水厂的一名工人恰好在黑客攻击发生前几个小时访问了“水坑”网站。但这似乎与自来水厂黑客攻击无关。事实上,Dragos在其报告中指出,它“有信心”认为没有组织因水坑攻击而受到损害。对水坑攻击中使用的代码的分析导致安全调查人员将其链接到一个名为DarkTeamStore的网络犯罪网站,该网站部分感染了名为Tofsee的恶意软件,这是Dragos跟踪的Tesseract变体。“根据我们迄今为止收集的数字取证信息,Dragos的最佳评估是攻击者在水利基础设施建设公司的网站上部署了一个水坑,以收集合法的浏览器数据,”Dragos在一篇博文中说,目的是提高僵尸网络恶意软件模拟合法Web浏览器活动的能力。”Dragos还指出,“我们不明白为什么攻击者选择破坏FloridaWaterConstruction的网站来托管他们的代码。有趣的是,与其他水坑攻击不同,此代码没有提供漏洞利用或试图访问受害者的计算机。”(仅供参考。)攻击者可能认为水利基础设施建设现场将有更宽松的停留时间来收集重要信息目标上的数据,而不是一个繁忙但更密切监控的站点,并有专门的安全团队。”Dragos指出,虽然水坑攻击似乎并不直接针对自来水厂,但该事件确实凸显了在不受信任的站点上实施访问控制的重要性,尤其是在OT和ICS环境中。参考资料:https://www.dragos.com/blog/industry-news/a-new-water-watering-hole/【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】点此阅读作者更多好文
