佛羅里達(dá)水處理工廠事件調(diào)查報(bào)告:發(fā)現(xiàn)水坑攻擊
工控安全安全公司Dragos對(duì)佛羅里達(dá)州奧爾德斯馬市水處理廠最近的網(wǎng)絡(luò)攻擊進(jìn)行的調(diào)查中發(fā)現(xiàn)了一個(gè)水坑攻擊,該攻擊最初似乎是針對(duì)水處理基礎(chǔ)設(shè)施的。
執(zhí)法部門(mén)在今年2月初透露,黑客獲得了對(duì)奧爾茲瑪(Oldsmar)水處理工廠系統(tǒng)的訪問(wèn)權(quán)限,并試圖將某種化學(xué)物質(zhì)的含量提高到可能使公眾面臨中毒風(fēng)險(xiǎn)的程度。
攻擊者利用了TeamViewer,因?yàn)樵摴S的員工一直在使用TeamViewer遠(yuǎn)程監(jiān)視和控制系統(tǒng)。由于密碼共享和其他不良的安全做法,黑客很容易獲得訪問(wèn)權(quán)限并開(kāi)始在HMI中進(jìn)行未經(jīng)授權(quán)的更改。幸運(yùn)的是,工作人員注意到鼠標(biāo)在屏幕上(自行)移動(dòng),發(fā)現(xiàn)攻擊行為從而避免了災(zāi)難。
在調(diào)查此事時(shí),Dragos的威脅獵人注意到,佛羅里達(dá)一家水利基礎(chǔ)設(shè)施建設(shè)公司的網(wǎng)站也被入侵,并被設(shè)置用于水坑攻擊。攻擊者在該網(wǎng)站上植入惡意代碼,采集來(lái)訪計(jì)算機(jī)上的信息。
從2020年12月到2021年2月,該水坑攻擊惡意腳本存在了將近兩個(gè)月,并且收集了有關(guān)操作系統(tǒng)、CPU、瀏覽器、輸入法、攝像頭、加速度計(jì)、麥克風(fēng)、接觸點(diǎn)、視頻卡、時(shí)區(qū)、地理位置、屏幕信息以及瀏覽器插件等信息。此外,它還將受害者定向到幾個(gè)收集瀏覽器密碼指紋的站點(diǎn),一些網(wǎng)絡(luò)防御解決方案使用這些指紋來(lái)檢測(cè)是否來(lái)自感染了惡意軟件的主機(jī)的連接。
Dragos確定,在兩個(gè)月的時(shí)間內(nèi),超過(guò)1,000臺(tái)計(jì)算機(jī)訪問(wèn)了這個(gè)水坑,其中包括州和地方政府組織、市政水務(wù)客戶以及與水處理行業(yè)相關(guān)的私人公司。惡意代碼描述的大多數(shù)組織都在佛羅里達(dá)州和美國(guó)其他地區(qū)。這似乎表明這是針對(duì)美國(guó)水務(wù)部門(mén)的有針對(duì)性攻擊的一部分。
有趣的是,在奧爾茲瑪(Oldsmar)自來(lái)水廠被黑客入侵前幾小時(shí),該水廠的一位工作人員恰好訪問(wèn)過(guò)“水坑”網(wǎng)站。但這似乎與自來(lái)水廠的黑客攻擊無(wú)關(guān)。實(shí)際上,Dragos在報(bào)告中指出,它有“中等信心”,認(rèn)定沒(méi)有組織因水坑攻擊而受到損害。
對(duì)水坑攻擊中使用的代碼進(jìn)行分析后,安全調(diào)查人員將其關(guān)聯(lián)到一個(gè)名為DarkTeam Store的網(wǎng)絡(luò)犯罪網(wǎng)站,該網(wǎng)站的一部分感染了名為T(mén)ofsee的惡意軟件,是Dragos跟蹤的Tesseract的變種。
Dragos在博客文章中指出:“根據(jù)到目前為止我們收集的數(shù)字取證信息,Dragos的最佳評(píng)估是,攻擊者在水利基礎(chǔ)設(shè)施建設(shè)公司的站點(diǎn)上部署了一個(gè)水坑,以收集合法的瀏覽器數(shù)據(jù),目的是提高僵尸網(wǎng)絡(luò)惡意軟件模擬合法的Web瀏覽器活動(dòng)的能力”。
Dragos還指出:“我們不明白攻擊者為什么選擇入侵佛羅里達(dá)水利建筑公司的站點(diǎn)來(lái)托管其代碼。有趣的是,與其他水坑攻擊不同,該代碼未提供利用或試圖獲得對(duì)受害者計(jì)算機(jī)的訪問(wèn)權(quán)限(僅收集信息)。攻擊者可能認(rèn)為,與一個(gè)忙碌但受到更嚴(yán)格監(jiān)控且擁有專(zhuān)門(mén)安全團(tuán)隊(duì)的網(wǎng)站相比,水利基礎(chǔ)設(shè)施建設(shè)網(wǎng)站將有更寬松的停留時(shí)間來(lái)收集攻擊目標(biāo)的重要數(shù)據(jù)。”
Dragos指出,盡管水坑攻擊似乎并非直接針對(duì)自來(lái)水廠,但該事件確實(shí)凸顯了對(duì)不受信任站點(diǎn)實(shí)施訪問(wèn)控制的重要性,尤其是在OT和ICS環(huán)境中。
參考資料:https://www.dragos.com/blog/industry-news/a-new-water-watering-hole/
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
