工控安全安全公司Dragos對(duì)佛羅里達(dá)州奧爾德斯馬市水處理廠最近的網(wǎng)絡(luò)攻擊進(jìn)行的調(diào)查中發(fā)現(xiàn)了一個(gè)水坑攻擊，該攻擊最初似乎是針對(duì)水處理基礎(chǔ)設(shè)施的。

執(zhí)法部門在今年2月初透露，黑客獲得了對(duì)奧爾茲瑪(Oldsmar)水處理工廠系統(tǒng)的訪問(wèn)權(quán)限，并試圖將某種化學(xué)物質(zhì)的含量提高到可能使公眾面臨中毒風(fēng)險(xiǎn)的程度。

[[400727]]

攻擊者利用了TeamViewer，因?yàn)樵摴S的員工一直在使用TeamViewer遠(yuǎn)程監(jiān)視和控制系統(tǒng)。由于密碼共享和其他不良的安全做法，黑客很容易獲得訪問(wèn)權(quán)限并開始在HMI中進(jìn)行未經(jīng)授權(quán)的更改。幸運(yùn)的是，工作人員注意到鼠標(biāo)在屏幕上(自行)移動(dòng)，發(fā)現(xiàn)攻擊行為從而避免了災(zāi)難。

在調(diào)查此事時(shí)，Dragos的威脅獵人注意到，佛羅里達(dá)一家水利基礎(chǔ)設(shè)施建設(shè)公司的網(wǎng)站也被入侵，并被設(shè)置用于水坑攻擊。攻擊者在該網(wǎng)站上植入惡意代碼，采集來(lái)訪計(jì)算機(jī)上的信息。

從2020年12月到2021年2月，該水坑攻擊惡意腳本存在了將近兩個(gè)月，并且收集了有關(guān)操作系統(tǒng)、CPU、瀏覽器、輸入法、攝像頭、加速度計(jì)、麥克風(fēng)、接觸點(diǎn)、視頻卡、時(shí)區(qū)、地理位置、屏幕信息以及瀏覽器插件等信息。此外，它還將受害者定向到幾個(gè)收集瀏覽器密碼指紋的站點(diǎn)，一些網(wǎng)絡(luò)防御解決方案使用這些指紋來(lái)檢測(cè)是否來(lái)自感染了惡意軟件的主機(jī)的連接。

Dragos確定，在兩個(gè)月的時(shí)間內(nèi)，超過(guò)1,000臺(tái)計(jì)算機(jī)訪問(wèn)了這個(gè)水坑，其中包括州和地方政府組織、市政水務(wù)客戶以及與水處理行業(yè)相關(guān)的私人公司。惡意代碼描述的大多數(shù)組織都在佛羅里達(dá)州和美國(guó)其他地區(qū)。這似乎表明這是針對(duì)美國(guó)水務(wù)部門的有針對(duì)性攻擊的一部分。

有趣的是，在奧爾茲瑪(Oldsmar)自來(lái)水廠被黑客入侵前幾小時(shí)，該水廠的一位工作人員恰好訪問(wèn)過(guò)“水坑”網(wǎng)站。但這似乎與自來(lái)水廠的黑客攻擊無(wú)關(guān)。實(shí)際上，Dragos在報(bào)告中指出，它有“中等信心”，認(rèn)定沒有組織因水坑攻擊而受到損害。

對(duì)水坑攻擊中使用的代碼進(jìn)行分析后，安全調(diào)查人員將其關(guān)聯(lián)到一個(gè)名為DarkTeam Store的網(wǎng)絡(luò)犯罪網(wǎng)站，該網(wǎng)站的一部分感染了名為Tofsee的惡意軟件，是Dragos跟蹤的Tesseract的變種。

Dragos在博客文章中指出：“根據(jù)到目前為止我們收集的數(shù)字取證信息，Dragos的最佳評(píng)估是，攻擊者在水利基礎(chǔ)設(shè)施建設(shè)公司的站點(diǎn)上部署了一個(gè)水坑，以收集合法的瀏覽器數(shù)據(jù)，目的是提高僵尸網(wǎng)絡(luò)惡意軟件模擬合法的Web瀏覽器活動(dòng)的能力”。

Dragos還指出：“我們不明白攻擊者為什么選擇入侵佛羅里達(dá)水利建筑公司的站點(diǎn)來(lái)托管其代碼。有趣的是，與其他水坑攻擊不同，該代碼未提供利用或試圖獲得對(duì)受害者計(jì)算機(jī)的訪問(wèn)權(quán)限(僅收集信息)。攻擊者可能認(rèn)為，與一個(gè)忙碌但受到更嚴(yán)格監(jiān)控且擁有專門安全團(tuán)隊(duì)的網(wǎng)站相比，水利基礎(chǔ)設(shè)施建設(shè)網(wǎng)站將有更寬松的停留時(shí)間來(lái)收集攻擊目標(biāo)的重要數(shù)據(jù)。”

Dragos指出，盡管水坑攻擊似乎并非直接針對(duì)自來(lái)水廠，但該事件確實(shí)凸顯了對(duì)不受信任站點(diǎn)實(shí)施訪問(wèn)控制的重要性，尤其是在OT和ICS環(huán)境中。

參考資料：https://www.dragos.com/blog/industry-news/a-new-water-watering-hole/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文