佛罗里达州Oldsmar市的一名员工访问了一个恶意网站,只需几个小时就在有人闯入城市的水处理厂和试图毒害饮用水安全公司Dragos周二说。这家安全公司说,最终,该网站很可能在入侵事件中没有扮演任何角色,但这一事件仍然令人不安。
德拉戈斯研究人员肯特·贝克曼在一份报告中写道,该网站属于佛罗里达州的一家水务承包商,去年12月底被黑客侵入,这些黑客的恶意代码似乎针对的是水务公司,尤其是佛罗里达州的水务公司博客.在该网站被感染的58天窗口期间,超过1,000台最终用户计算机访问了该网站。其中一次访问发生在美国东部时间2月5日上午9点49分,来自奥兹马尔市网络上的一台电脑。同一天晚上,一名不知名的演员获得了未经授权的访问权限,进入了用于调整用于处理坦帕市西北16英里(约合16公里)的小城市约1.5万居民饮用水的化学物质的计算机界面。
入侵者将碱液的浓度从百万分之一百提高到了百万分之十一,这是一个潜在的致命增加。更改很快被检测到并回滚。
所谓的浇水孔攻击已经在计算机黑客攻击中频繁,这些犯罪是针对特定行业或用户组的计算机。就像自然中的掠夺者一样,在他们的猎物使用的附近浇水漏洞中,黑客经常损害目标组经常光顾的一个或多个网站,并针对那些访问它们的人量身定制的植物恶意代码。Dragos表示,它发现的网站似乎瞄准了水公用事业,特别是佛罗里达州的网站。
贝克曼写道:“与恶意代码交互的电脑包括市政自来水公司客户、州和地方政府机构、各种与水务行业相关的私营公司的电脑,以及普通的互联网机器人和网站爬虫流量。”“在此期间,超过1000台终端用户的电脑被恶意代码分析,大部分来自美国和佛罗里达州。”
这张地图显示了这些电脑的位置:
详细的信息收集
恶意代码收集了有关访客的100多个详细信息,包括其操作系统和CPU类型,浏览器和支持的语言,时区,地理位置服务,视频编解码器,屏幕尺寸,浏览器插件,触摸点,输入方法以及是否存在相机,加速度计或麦克风。
恶意代码还将访问者引导到两个独立的网站,这些网站收集能唯一识别每个连接设备的加密散列,并将指纹上传到bdatac.herokuapp[.]com上的数据库。指纹脚本使用的代码来自四个不同的代码项目:core-js, UAParser, regeneratorRuntime,和一个数据收集脚本观察到只有其他两个网站,两者都与域名注册,托管,和web开发公司。
德拉戈斯说,他们发现只有另外一个网站向访问者提供复杂复杂的代码。这个网站,DarkTeam(。据称,这是一个地下市场,为成千上万的顾客提供礼品卡和账户。该公司的研究人员发现,该网站的一部分也可能是被最近一种名为僵尸网络的恶意软件感染的系统的签到位置Tofsee.
德拉戈斯还发现证据表明,同一个人在2020年12月20日的同一天黑进了DarkTeam网站和水利基础设施建设公司的网站。Dragos发现有12735个IP地址被怀疑是感染tofsee的系统连接到一个非公开页面,这意味着它需要验证。然后浏览器提供了一个用户代理字符串,其中包含一个特殊的“Tesseract/1.0”工件。
不是一般的酒吧
贝克曼写道:“根据我们目前收集到的取证信息,德拉戈斯的最佳评估是,一个人在水务基础设施建设公司的网站上部署了水坑,以收集合法的浏览器数据,目的是提高僵尸网络恶意软件模仿合法浏览器活动的能力。”“僵尸网络使用了至少10种不同的密码握手或JA3哈希,其中一些模仿了合法的浏览器,与之前Tofsee僵尸迭代中广泛发布的单次握手哈希相比,这是僵尸网络改进的证据。”
为政府和私营企业提供工业控制系统安全保障的Dragos公司表示,该公司最初担心该网站会构成重大威胁,原因是:
- 专注于佛罗里达
- 与Oldsmar入侵的时间相关性
- 高度编码和复杂的JavaScript
- 互联网上的几个代码位置
- 类似于水坑攻击的其他针对ics的活动组,如DYMALLOY,allanite., 和斜钨铅矿.
然而,贝克曼继续说,这一发现应该是一个警钟。Olsdmar的官员没有立即回复记者的置评请求。
“这不是典型的浇水洞,”他写道。“我们有中等的信心它没有直接损害任何组织。但它确实代表了水业的暴露风险,并突出了控制访问不受信任的网站的重要性,特别是对于运营技术(OT)和工业控制系统(ICS)环境。“
你必须登录或者创建一个帐户评论。