Attaque de trou d'eau

Une enquête menée à la suite du piratage de l’usine d’eau d’Oldsmar plus tôt cette année a révélé qu’un entrepreneur d’infrastructure de l’État américain de Floride avait hébergé un code malveillant sur son site Web dans le cadre de ce qu’on appelle une attaque de point d’eau.

“Ce code malveillant visait apparemment les services d’eau, en particulier en Floride, et, plus important encore, a été visité par un navigateur de la ville d’Oldsmar le jour même de l’empoisonnement”, a déclaré Kent Backman, chercheur à Dragos. mentionné dans un article publié mardi.

Le site, qui appartient à un entrepreneur général basé en Floride impliqué dans la construction d’installations de traitement des eaux et des eaux usées, n’a eu aucune incidence sur l’intrusion, a déclaré la société de cybersécurité industrielle américaine.

auditeur de mot de passe

Les attaques de points d’eau permettent généralement à un adversaire de compromettre un groupe spécifique d’utilisateurs finaux en compromettant un site Web soigneusement sélectionné, que les membres de ce groupe sont connus pour visiter, avec l’intention d’accéder au système de la victime et de l’infecter avec des logiciels malveillants.

Dans ce cas précis, cependant, le site Web infecté n’a pas fourni de code d’exploitation ni tenté d’accéder aux systèmes des visiteurs. Au lieu de cela, le code injecté fonctionnait comme un script d’énumération de navigateur et d’empreintes digitales qui récoltait divers détails sur les visiteurs du site Web, y compris le système d’exploitation, le processeur, le navigateur (et les plugins), les méthodes de saisie, la présence d’une caméra, un accéléromètre, un microphone, le fuseau horaire, les emplacements , les codecs vidéo et les dimensions de l’écran.

Les informations collectées ont ensuite été exfiltrées dans une base de données hébergée sur un site d’application Heroku (bdatac.herokuapp[.]com) qui stockait également le script. L’application a depuis été retirée. Dragos soupçonne qu’un plugin WordPress vulnérable a peut-être été exploité pour insérer le script dans le code du site Web.

Pas moins de 1 000 ordinateurs des utilisateurs finaux ont visité le site infecté au cours de la fenêtre de 58 jours commençant le 20 décembre 2020, avant qu’il ne soit corrigé le 16 février 2021. “Ceux qui ont interagi avec le code malveillant comprenaient des ordinateurs du service des eaux municipal. les clients, les agences gouvernementales nationales et locales, diverses sociétés privées liées à l’industrie de l’eau et le trafic normal des robots Internet et des robots d’exploration de sites Web », a déclaré Backman.

“La meilleure évaluation de Dragos est qu’un acteur a déployé le point d’eau sur le site de l’entreprise de construction d’infrastructures hydrauliques pour collecter des données de navigateur légitimes dans le but d’améliorer la capacité du malware botnet à se faire passer pour une activité légitime du navigateur Web”, a ajouté le chercheur.

Sur la base des données de télémétrie recueillies par l’entreprise, l’une de ces 1000 visites provenait d’un ordinateur résidant dans le réseau appartenant à la ville d’Oldsmar le 5 février, le même jour qu’un adversaire non identifié a réussi à augmenter la dose d’hydroxyde de sodium dans l’approvisionnement en eau pour niveaux dangereux en accédant à distance au système SCADA de la station d’épuration.

Les attaquants ont finalement été déjoués dans leur tentative par un opérateur, qui a réussi à attraper la manipulation en temps réel et a rétabli les niveaux de concentration pour réparer les dégâts. L’accès non autorisé se serait produit via le logiciel de bureau à distance TeamViewer installé sur l’un des nombreux ordinateurs de l’usine qui étaient connectés au système de contrôle.

La cyberattaque de l’usine d’Oldsmar, et plus récemment l’incident du ransomware Colonial Pipeline, ont suscité des inquiétudes quant au potentiel de falsification des systèmes de contrôle industriels déployés dans les infrastructures critiques, incitant le gouvernement américain à prendre des mesures pour renforcer les défenses en protégeant les réseaux fédéraux et en améliorant le partage d’informations entre le gouvernement américain et le secteur privé sur les questions cybernétiques, entre autres.

“Ce n’est pas un point d’eau typique”, a déclaré Backman. “Nous sommes moyennement convaincus que cela n’a compromis directement aucune organisation. Mais cela représente un risque d’exposition pour l’industrie de l’eau et souligne l’importance de contrôler l’accès aux sites Web non fiables, en particulier pour les environnements de technologie opérationnelle (OT) et de système de contrôle industriel (ICS). . “



Leave a Reply