El ataque a Watering Hole se utilizó para atacar a los servicios públicos de agua de Florida

Ataque de abrevadero

Una investigación realizada a raíz del ataque a la planta de agua de Oldsmar a principios de este año reveló que un contratista de infraestructura en el estado de Florida, EE. UU., alojó un código malicioso en su sitio web en lo que se conoce como un ataque de pozo de agua.

«Este código malicioso aparentemente se dirigió a los servicios de agua, particularmente en Florida, y lo que es más importante, fue visitado por un navegador de la ciudad de Oldsmar el mismo día del evento de envenenamiento», dijo el investigador de Dragos, Kent Backman, en un artículo publicado el martes. .

El sitio, que pertenece a un contratista general con sede en Florida involucrado en la construcción de instalaciones de tratamiento de agua y aguas residuales, no influyó en la intrusión, dijo la firma estadounidense de ciberseguridad industrial.

Los ataques de pozo de agua generalmente permiten que un adversario comprometa a un grupo específico de usuarios finales al comprometer un sitio web cuidadosamente seleccionado, que se sabe que visitan los miembros de ese grupo, con la intención de obtener acceso al sistema de la víctima e infectarlo con malware.

Sin embargo, en este caso específico, el sitio web infectado no proporcionó un código de explotación ni intentó obtener acceso a los sistemas de los visitantes. En cambio, el código inyectado funcionó como un script de enumeración y huellas dactilares del navegador que recopiló varios detalles sobre los visitantes del sitio web, incluidos el sistema operativo, la CPU, el navegador (y los complementos), los métodos de entrada, la presencia de una cámara, el acelerómetro, el micrófono, la zona horaria, las ubicaciones. , códecs de video y dimensiones de la pantalla.

La información recopilada luego se exfiltró a una base de datos alojada en un sitio de la aplicación Heroku (bdatac.herokuapp[.]com) que también almacenó el script. Desde entonces, la aplicación ha sido eliminada. Dragos sospecha que un complemento vulnerable de WordPress puede haber sido explotado para insertar el script en el código del sitio web.

No menos de 1,000 computadoras de usuarios finales visitaron el sitio infectado durante la ventana de 58 días que comenzó el 1 de diciembre. 20 de febrero de 2020, antes de que se remediara el 2 de febrero. El 16 de enero de 2021. «Los que interactuaron con el código malicioso incluyeron computadoras de clientes municipales de servicios públicos de agua, agencias gubernamentales estatales y locales, varias empresas privadas relacionadas con la industria del agua y tráfico normal de bots de Internet y rastreadores de sitios web», dijo Backman.

«La mejor evaluación de Dragos es que un actor desplegó el abrevadero en el sitio de la empresa de construcción de infraestructura de agua para recopilar datos legítimos del navegador con el fin de mejorar la capacidad del malware de botnet para suplantar la actividad legítima del navegador web», agregó el investigador.

Según los datos de telemetría recopilados por la empresa, una de esas 1000 visitas provino de una computadora que reside en la red que pertenece a la ciudad de Oldsmar el 2 de febrero. El 5 de enero, el mismo día, un adversario no identificado logró aumentar la dosis de hidróxido de sodio en el suministro de agua a niveles peligrosos al acceder de forma remota al sistema SCADA en la planta de tratamiento de agua.

Los atacantes finalmente fueron frustrados en su intento por un operador, que logró detectar la manipulación en tiempo real y restableció los niveles de concentración para deshacer el daño. Se dice que el acceso no autorizado se produjo a través del software de escritorio remoto TeamViewer instalado en una de las varias computadoras de la planta que estaban conectadas al sistema de control.

El ciberataque a la planta de Oldsmar y, más recientemente, el incidente del ransomware Colonial Pipeline, han desencadenado preocupaciones sobre la posibilidad de manipulación de los sistemas de control industrial desplegados en infraestructura crítica, lo que llevó al gobierno de EE. UU. a tomar medidas para reforzar las defensas protegiendo las redes federales y mejorando la información. intercambio entre el gobierno de los EE. UU. y el sector privado en temas cibernéticos, entre otros.

«Este no es un abrevadero típico», dijo Backman. «Tenemos una confianza media de que no comprometió directamente a ninguna organización. Pero representa un riesgo de exposición para la industria del agua y destaca la importancia de controlar el acceso a sitios web que no son de confianza, especialmente para entornos de tecnología operativa (OT) y sistema de control industrial (ICS). . «

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática