佛罗里达水处理工厂事件调查报告：发现水坑攻击

工控安全安全公司Dragos对佛罗里达州奥尔德斯马市水处理厂最近的网络攻击进行的调查中发现了一个水坑攻击，该攻击最初似乎是针对水处理基础设施的。

执法部门在今年2月初透露，黑客获得了对奥尔兹玛(Oldsmar)水处理工厂系统的访问权限，并试图将某种化学物质的含量提高到可能使公众面临中毒风险的程度。

攻击者利用了TeamViewer，因为该工厂的员工一直在使用TeamViewer远程监视和控制系统。由于密码共享和其他不良的安全做法，黑客很容易获得访问权限并开始在HMI中进行未经授权的更改。幸运的是，工作人员注意到鼠标在屏幕上(自行)移动，发现攻击行为从而避免了灾难。

在调查此事时，Dragos的威胁猎人注意到，佛罗里达一家水利基础设施建设公司的网站也被入侵，并被设置用于水坑攻击。攻击者在该网站上植入恶意代码，采集来访计算机上的信息。

从2020年12月到2021年2月，该水坑攻击恶意脚本存在了将近两个月，并且收集了有关操作系统、CPU、浏览器、输入法、摄像头、加速度计、麦克风、接触点、视频卡、时区、地理位置、屏幕信息以及浏览器插件等信息。此外，它还将受害者定向到几个收集浏览器密码指纹的站点，一些网络防御解决方案使用这些指纹来检测是否来自感染了恶意软件的主机的连接。

Dragos确定，在两个月的时间内，超过1,000台计算机访问了这个水坑，其中包括州和地方政府组织、市政水务客户以及与水处理行业相关的私人公司。恶意代码描述的大多数组织都在佛罗里达州和美国其他地区。这似乎表明这是针对美国水务部门的有针对性攻击的一部分。

有趣的是，在奥尔兹玛(Oldsmar)自来水厂被黑客入侵前几小时，该水厂的一位工作人员恰好访问过“水坑”网站。但这似乎与自来水厂的黑客攻击无关。实际上，Dragos在报告中指出，它有“中等信心”，认定没有组织因水坑攻击而受到损害。

对水坑攻击中使用的代码进行分析后，安全调查人员将其关联到一个名为DarkTeam Store的网络犯罪网站，该网站的一部分感染了名为Tofsee的恶意软件，是Dragos跟踪的Tesseract的变种。

Dragos在博客文章中指出：“根据到目前为止我们收集的数字取证信息，Dragos的最佳评估是，攻击者在水利基础设施建设公司的站点上部署了一个水坑，以收集合法的浏览器数据，目的是提高僵尸网络恶意软件模拟合法的Web浏览器活动的能力”。

Dragos还指出：“我们不明白攻击者为什么选择入侵佛罗里达水利建筑公司的站点来托管其代码。有趣的是，与其他水坑攻击不同，该代码未提供利用或试图获得对受害者计算机的访问权限(仅收集信息)。攻击者可能认为，与一个忙碌但受到更严格监控且拥有专门安全团队的网站相比，水利基础设施建设网站将有更宽松的停留时间来收集攻击目标的重要数据。”

Dragos指出，尽管水坑攻击似乎并非直接针对自来水厂，但该事件确实凸显了对不受信任站点实施访问控制的重要性，尤其是在OT和ICS环境中。

参考资料：https://www.dragos.com/blog/industry-news/a-new-water-watering-hole/

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文