Пречиствателната станция във Флорида участва във втори инцидент за сигурност преди опит за отравяне: доклад

Ново проучване от Dragos установи, че пречиствателна станция за вода в Олдсмар, Флорида – където хакери са се опитали да отровят градската вода по-рано тази година – е била замесена в друго потенциално нарушение по същото време.

Браузър, който се използва в мрежата на завода, беше проследено обратно до атака „дупка“ за които се твърди, че са били насочени към водоснабдяване в цялата страна.

“Ние имаме средно доверие, че не е пряко компрометирало никоя организация”, се казва в доклада. „Но това представлява риск от излагане на водната индустрия и подчертава важността на контрола на достъпа до ненадеждни уебсайтове, особено за операционните технологии и средите за индустриална система за контрол.“

Малкият град в централна Флорида публикува национални новини през февруари, когато хакерите получиха отдалечен достъп до системи в местна водна централа и се опитаха да повишат нивата на някои химикали, които биха били отровни за жителите на града. Атаката беше спряна, преди нивата на водата да могат да бъдат променени, но ситуацията, подобно на скорошната атака на рансъмуер срещу Colonial Pipeline, постави в центъра на вниманието колко незащитена е голяма част от критичната инфраструктура в САЩ.

Изследователи с Драгос установиха, че уебсайтът на WordPress на компания за строителство на водна инфраструктура във Флорида „хоства злонамерен код“ във файла на долния колонтитул на техния уебсайт като начин за привличане на оператори във водоснабдителните дружества в щата и другаде. Твърди се, че нападателите са се възползвали от една от многото уязвимости, които могат да бъдат намерени в приставките на WordPress, и са вмъкнали кода, който Dragos идентифицира като зловреден софтуер Tofsee, в някакъв момент през декември 2020 г.

Докладът установява, че уебсайтът със зловредния код „е бил посетен от браузър от град Олдсмар“ на 5 февруари в 9:49 ч., Същия ден на отравящото събитие.

Водният завод в Олдсмар далеч не е единствената организация, която е посетила сайта със злонамерения код, се казва в доклада. Изследователите на Dragos установиха, че между декември 2020 г. и 16 февруари, когато бе отстранена уязвимостта, над 1000 компютъра в цялата страна бяха „профилирани от злонамерения код“.

Десетки компютри от държавни и местни правителствени агенции, свързани с водната индустрия частни компании, общински клиенти на ВиК и други посетиха обекта през този двумесечен период, според Драгош.

Въпреки посещението на мястото в същия ден на нападението, нападението с дупка не е свързано с нападението с отравяне, повтори Драгош.

“Не разбираме защо противникът е избрал конкретния сайт на водна строителна компания във Флорида, за да направи компромис и да хоства техния код. Интересното е, че за разлика от други атаки на поливни дупки, кодът не предоставя експлойти или опит за постигане на достъп до компютрите на жертвите”, Драгос писаха изследователи.

„С помощта на съдебната информация, която събрахме досега, най-добрата оценка на Драгош е, че даден актьор е разположил дупката на сайта на строителната компания за водна инфраструктура, за да събира законни данни от браузъра с цел подобряване на способността на ботнет зловредния софтуер да се представя за законна дейност на уеб браузъра, “се казва в доклада.

Експертите по киберсигурност отбелязват, че докладът потвърждава казаното от години за неспособността на страната да защити жизнената инфраструктура от кибератаки.

Вицепрезидентът на ThycoticCentrify Бил О’Нийл заяви, че докладът е само поредният пример за това как организациите се справят с уязвимости, които могат да бъдат използвани всеки момент от нападателите.

“Атаки като тези напълно ясно показват, че навлизаме в нова ера на дигиталната война. Цифровият Пърл Харбър отдавна е страх от експерти, тъй като нашите противници се стремят да предизвикат смущения сред нашата критична инфраструктура”, каза О’Нийл. “Всяка голяма атака срещу нашите енергийни, водни или транспортни системи може да постигне това.”

Янив Бар-Даян, главен изпълнителен директор на Vulcan Cyber, обясни, че атаката с дупка има предимствата на една много сложна атака и отбеляза, че всичко започна с „ниско уязвима приставка за WordPress“.

“Отстраняването на уязвимости е мръсната работа на индустрията за киберсигурност. Никой не обича да го прави и не получава вниманието и ресурсите, които заслужава, докато не стане твърде късно”, каза Бар-Даян. „В наши дни уязвимостта на приставката на WordPress може да доведе до отравяне на водоснабдяване или до сваляне на нефтопровод.“

Други експерти твърдят, че констатациите просто потвърждават необходимостта от постоянни актуализации на системата за управление на съдържанието на организацията. Атаката също така подчерта как хакерите използват някои усилия, за да научат какво работи и да съберат данни, вместо да използват уязвимости за някакви конкретни действия, според вицепрезидента на New Net Technologies за изследване на сигурността Дирк Шрадер.

“За хората в отбраната това потвърждава необходимостта да се поддържа високо ниво на кибер хигиена и да може да се откриват всякакви злонамерени промени в инфраструктурата”, каза Шрадер.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com