【安全资讯】研究人员曝光佛罗里达水厂网络攻击事件背后的水坑攻击

猎影实验室 2021-05-20 02:46:21 3523人浏览

研究人员近日对早先发生的佛罗里达州奥兹马尔(Oldsmar)水处理厂遭受的网络攻击进行了调查,结果发现了一个似乎是针对水务公司的水坑攻击。2021年2月5日,该市的水处理厂发生了一次针对水务承包商的投毒事件,一名黑客远程访问了奥兹玛(Oldsmar)水厂的系统,试图将某一化学物质的含量提高到可能使公众面临中毒风险的程度。这一前所未有的事件在媒体和网络安全行业引起了巨大轰动。


当时攻击者盗用了工厂工作人员的TeamViewer凭证,用来远程监控系统。由于口令共享,黑客很容易就获得访问权限,并开始在HMI中进行未经授权的更改。幸运的是,工作人员发现了该漏洞,从而避免了一场灾难。


研究人员注意到,佛罗里达州一家水利基础设施建设公司的网站被攻破,被设置为一个水坑。植入该网站的恶意代码收集了访问该网站的计算机上的信息。该恶意脚本在2020年12月至2021年2月之间存在了近两个月,它收集了关于操作系统、CPU、浏览器、输入法、摄像头、加速计、麦克风、触点、显卡、时区、地理位置、屏幕和浏览器插件的信息。


研究人员表示,在这两个月的时间内,超过1000台电脑进入了这个水坑,包括州和地方政府机构、市政自来水公司客户以及与水务行业相关的私人公司。被恶意代码收集信息的大多数组织都在佛罗里达州和美国的其他地方。这似乎表明,这个水坑是针对美国水务部门的一次有针对性的袭击。被收集指纹客户端的地理位置分布如下:



对水坑攻击中使用的代码进行分析后,研究人员将其关联到一个名为DarkTeam Store的网络犯罪网站,该网站上有一个被名为Tofsee的恶意软件,是Tesseract的变体。攻击者在水利基础设施建设公司的站点上部署了一个水坑,以收集合法的浏览器数据,目的是提高僵尸网络恶意软件模拟合法的Web浏览器活动的能力。 


研究人员指出,尽管水坑攻击似乎不是直接针对水务行业,但该事件确实凸显了对不受信任站点实施访问控制的重要性,尤其是在OT和ICS环境中。

失陷指标(IOC)5
水坑攻击 水利
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。