Một cuộc điều tra được thực hiện sau hậu quả của Hack nhà máy nước Oldsmar đầu năm nay đã tiết lộ rằng một nhà thầu cơ sở hạ tầng ở bang Florida của Hoa Kỳ đã lưu trữ mã độc trên trang web của họ trong một cuộc tấn công lỗ phun nước.
“Mã độc này dường như nhắm mục tiêu vào các tiện ích nước, đặc biệt là ở Florida, và quan trọng hơn, đã được một trình duyệt từ thành phố Oldsmar truy cập vào cùng ngày xảy ra sự kiện đầu độc”, nhà nghiên cứu Kent Backman của Dragos nói trong một bài viết được xuất bản vào thứ Ba.
Công ty an ninh mạng công nghiệp Mỹ cho biết, địa điểm này thuộc về một tổng thầu có trụ sở tại Florida tham gia xây dựng các cơ sở xử lý nước và nước thải, không ảnh hưởng đến sự xâm nhập.
Các cuộc tấn công lỗ tưới nước thường cho phép kẻ thù xâm phạm một nhóm người dùng cuối cụ thể bằng cách xâm nhập một trang web được lựa chọn cẩn thận, mà các thành viên của nhóm đó được biết là đã truy cập, với ý định truy cập vào hệ thống của nạn nhân và lây nhiễm phần mềm độc hại.
Tuy nhiên, trong trường hợp cụ thể này, trang web bị nhiễm không cung cấp mã khai thác hoặc cố gắng đạt được quyền truy cập vào hệ thống của khách truy cập. Thay vào đó, mã được đưa vào hoạt động như một tập lệnh liệt kê trình duyệt và lấy dấu vân tay thu thập các thông tin chi tiết khác nhau về khách truy cập trang web, bao gồm hệ điều hành, CPU, trình duyệt (và plugin), phương thức nhập, sự hiện diện của máy ảnh, gia tốc kế, micrô, múi giờ, vị trí , codec video và kích thước màn hình.
Thông tin thu thập được sau đó được trích xuất vào cơ sở dữ liệu được lưu trữ trên trang web ứng dụng Heroku (bdatac.herokuapp[.]com) cũng đã lưu trữ tập lệnh. Ứng dụng này đã bị gỡ xuống. Dragos nghi ngờ một plugin WordPress dễ bị tấn công có thể đã bị lợi dụng để chèn tập lệnh vào mã của trang web.
Không dưới 1.000 máy tính người dùng cuối đã truy cập trang web bị nhiễm trong thời gian 58 ngày bắt đầu từ ngày 20 tháng 12 năm 2020, trước khi nó được khắc phục vào ngày 16 tháng 2 năm 2021. “Những người đã tương tác với mã độc hại bao gồm cả máy tính từ công ty cấp nước thành phố khách hàng, các cơ quan chính quyền địa phương và tiểu bang, các công ty tư nhân khác nhau liên quan đến ngành nước và lưu lượng truy cập thông thường của bot internet và trình thu thập dữ liệu trang web, “Backman nói.
“Đánh giá tốt nhất của Dragos là một tác nhân đã triển khai lỗ phun nước trên trang web của công ty xây dựng cơ sở hạ tầng nước để thu thập dữ liệu trình duyệt hợp pháp nhằm mục đích cải thiện khả năng mạo danh hoạt động trình duyệt web hợp pháp của phần mềm độc hại botnet”, nhà nghiên cứu nói thêm.
Dựa trên dữ liệu đo từ xa do công ty thu thập, một trong số 1.000 lượt truy cập đó đến từ một máy tính nằm trong mạng thuộc Thành phố Oldsmar vào ngày 5 tháng 2, cùng ngày, một đối thủ không xác định đã cố gắng tăng liều lượng natri hydroxit trong nguồn cung cấp nước để mức độ nguy hiểm bằng cách truy cập từ xa vào hệ thống SCADA tại nhà máy xử lý nước.
Những kẻ tấn công cuối cùng đã bị đánh bại trong nỗ lực của họ bởi một người điều hành, người đã quản lý để bắt được thao tác trong thời gian thực và khôi phục mức độ tập trung để hoàn tác thiệt hại. Truy cập trái phép được cho là có xảy ra qua TeamViewer phần mềm máy tính từ xa được cài đặt trên một trong một số máy tính của nhà máy được kết nối với hệ thống điều khiển.
Cuộc tấn công mạng của nhà máy Oldsmar và gần đây là cuộc tấn công mạng Colonial Pipeline ransomware sự cố, đã làm dấy lên lo ngại về khả năng giả mạo các hệ thống điều khiển công nghiệp được triển khai trong cơ sở hạ tầng quan trọng, thúc đẩy chính phủ Hoa Kỳ thực hiện các bước để tăng cường khả năng phòng thủ bằng cách bảo vệ các mạng liên bang và cải thiện việc chia sẻ thông tin giữa chính phủ Hoa Kỳ và khu vực tư nhân về các vấn đề mạng, trong số các vấn đề khác.
Backman nói: “Đây không phải là một hố tưới điển hình. “Chúng tôi tự tin rằng nó không trực tiếp làm tổn hại đến bất kỳ tổ chức nào. Nhưng nó thể hiện rủi ro tiếp xúc với ngành nước và nhấn mạnh tầm quan trọng của việc kiểm soát truy cập vào các trang web không đáng tin cậy, đặc biệt là đối với môi trường Công nghệ hoạt động (OT) và Hệ thống kiểm soát công nghiệp (ICS) . “
