工控安全安全公司Dragos對佛羅里達(dá)州奧爾德斯馬市水處理廠最近的網(wǎng)絡(luò)攻擊進(jìn)行的調(diào)查中發(fā)現(xiàn)了一個水坑攻擊，該攻擊最初似乎是針對水處理基礎(chǔ)設(shè)施的。

執(zhí)法部門在今年2月初透露，黑客獲得了對奧爾茲瑪(Oldsmar)水處理工廠系統(tǒng)的訪問權(quán)限，并試圖將某種化學(xué)物質(zhì)的含量提高到可能使公眾面臨中毒風(fēng)險的程度。

攻擊者利用了TeamViewer，因為該工廠的員工一直在使用TeamViewer遠(yuǎn)程監(jiān)視和控制系統(tǒng)。由于密碼共享和其他不良的安全做法，黑客很容易獲得訪問權(quán)限并開始在HMI中進(jìn)行未經(jīng)授權(quán)的更改。幸運的是，工作人員注意到鼠標(biāo)在屏幕上(自行)移動，發(fā)現(xiàn)攻擊行為從而避免了災(zāi)難。

在調(diào)查此事時，Dragos的威脅獵人注意到，佛羅里達(dá)一家水利基礎(chǔ)設(shè)施建設(shè)公司的網(wǎng)站也被入侵，并被設(shè)置用于水坑攻擊。攻擊者在該網(wǎng)站上植入惡意代碼，采集來訪計算機上的信息。

從2020年12月到2021年2月，該水坑攻擊惡意腳本存在了將近兩個月，并且收集了有關(guān)操作系統(tǒng)、CPU、瀏覽器、輸入法、攝像頭、加速度計、麥克風(fēng)、接觸點、視頻卡、時區(qū)、地理位置、屏幕信息以及瀏覽器插件等信息。此外，它還將受害者定向到幾個收集瀏覽器密碼指紋的站點，一些網(wǎng)絡(luò)防御解決方案使用這些指紋來檢測是否來自感染了惡意軟件的主機的連接。

Dragos確定，在兩個月的時間內(nèi)，超過1,000臺計算機訪問了這個水坑，其中包括州和地方政府組織、市政水務(wù)客戶以及與水處理行業(yè)相關(guān)的私人公司。惡意代碼描述的大多數(shù)組織都在佛羅里達(dá)州和美國其他地區(qū)。這似乎表明這是針對美國水務(wù)部門的有針對性攻擊的一部分。

有趣的是，在奧爾茲瑪(Oldsmar)自來水廠被黑客入侵前幾小時，該水廠的一位工作人員恰好訪問過“水坑”網(wǎng)站。但這似乎與自來水廠的黑客攻擊無關(guān)。實際上，Dragos在報告中指出，它有“中等信心”，認(rèn)定沒有組織因水坑攻擊而受到損害。

對水坑攻擊中使用的代碼進(jìn)行分析后，安全調(diào)查人員將其關(guān)聯(lián)到一個名為DarkTeam Store的網(wǎng)絡(luò)犯罪網(wǎng)站，該網(wǎng)站的一部分感染了名為Tofsee的惡意軟件，是Dragos跟蹤的Tesseract的變種。

Dragos在博客文章中指出：“根據(jù)到目前為止我們收集的數(shù)字取證信息，Dragos的最佳評估是，攻擊者在水利基礎(chǔ)設(shè)施建設(shè)公司的站點上部署了一個水坑，以收集合法的瀏覽器數(shù)據(jù)，目的是提高僵尸網(wǎng)絡(luò)惡意軟件模擬合法的Web瀏覽器活動的能力”。

Dragos還指出：“我們不明白攻擊者為什么選擇入侵佛羅里達(dá)水利建筑公司的站點來托管其代碼。有趣的是，與其他水坑攻擊不同，該代碼未提供利用或試圖獲得對受害者計算機的訪問權(quán)限(僅收集信息)。攻擊者可能認(rèn)為，與一個忙碌但受到更嚴(yán)格監(jiān)控且擁有專門安全團隊的網(wǎng)站相比，水利基礎(chǔ)設(shè)施建設(shè)網(wǎng)站將有更寬松的停留時間來收集攻擊目標(biāo)的重要數(shù)據(jù)?！?/p>

Dragos指出，盡管水坑攻擊似乎并非直接針對自來水廠，但該事件確實凸顯了對不受信任站點實施訪問控制的重要性，尤其是在OT和ICS環(huán)境中。

參考資料  https://www.dragos.com/blog/industry-news/a-new-water-watering-hole/

來源：安全牛