Serangan Lubang Penyiraman Digunakan untuk Menargetkan Utilitas Air Florida

  • Whatsapp
Serangan Lubang Penyiraman

Investigasi yang dilakukan setelah peretasan pabrik air Oldsmar awal tahun ini telah mengungkapkan bahwa kontraktor infrastruktur di negara bagian Florida AS meng-host kode berbahaya di situsnya dalam apa yang dikenal sebagai serangan lubang berair.

“Kode berbahaya ini tampaknya menargetkan perusahaan air, khususnya di Florida, dan yang lebih penting, dikunjungi oleh browser dari kota Oldsmar pada hari yang sama saat peristiwa keracunan,” peneliti Dragos, Kent Backman kata dalam artikel yang diterbitkan pada hari Selasa.

Bacaan Lainnya

Situs itu, milik kontraktor umum berbasis di Florida yang terlibat dalam pembangunan fasilitas pengolahan air dan air limbah, tidak ada kaitannya dengan intrusi, kata perusahaan keamanan siber industri Amerika.

auditor kata sandi

Serangan watering hole biasanya memungkinkan musuh untuk menyusupi grup pengguna akhir tertentu dengan menyusupi situs web yang dipilih dengan cermat, yang diketahui dikunjungi oleh anggota grup tersebut, dengan maksud untuk mendapatkan akses ke sistem korban dan menginfeksinya dengan malware.

Namun, dalam kasus khusus ini, situs web yang terinfeksi tidak mengirimkan kode eksploitasi atau berupaya mendapatkan akses ke sistem pengunjung. Sebaliknya, kode yang dimasukkan berfungsi sebagai enumerasi browser dan skrip sidik jari yang mengumpulkan berbagai detail tentang pengunjung situs web, termasuk sistem operasi, CPU, browser (dan plugin), metode input, keberadaan kamera, akselerometer, mikrofon, zona waktu, lokasi , codec video, dan dimensi layar.

Informasi yang dikumpulkan kemudian dipindahkan ke database yang dihosting di situs aplikasi Heroku (bdatac.herokuapp[.]com) yang juga menyimpan skrip. Aplikasi tersebut telah dihapus. Dragos mencurigai plugin WordPress yang rentan mungkin telah dieksploitasi untuk memasukkan skrip ke dalam kode situs web.

Tidak kurang dari 1.000 komputer pengguna akhir mengunjungi situs yang terinfeksi selama jendela 58 hari mulai 20 Desember 2020, sebelum diperbaiki pada 16 Februari 2021. “Mereka yang berinteraksi dengan kode berbahaya termasuk komputer dari perusahaan air kota pelanggan, lembaga pemerintah negara bagian dan lokal, berbagai perusahaan swasta terkait industri air, dan bot internet normal serta lalu lintas perayap situs web, “kata Backman.

“Penilaian terbaik Dragos adalah bahwa seorang aktor memasang lubang berair di situs perusahaan konstruksi infrastruktur air untuk mengumpulkan data browser yang sah untuk tujuan meningkatkan kemampuan malware botnet untuk meniru aktivitas browser web yang sah,” tambah peneliti.

Berdasarkan data telemetri yang dikumpulkan oleh perusahaan, satu di antara 1.000 kunjungan tersebut berasal dari komputer yang berada di jaringan milik Kota Oldsmar pada 5 Februari, di hari yang sama ketika musuh tak dikenal berhasil meningkatkan dosis natrium hidroksida dalam pasokan air ke tingkat berbahaya dengan mengakses sistem SCADA dari jarak jauh di instalasi pengolahan air.

Para penyerang akhirnya digagalkan dalam upayanya oleh seorang operator, yang berhasil menangkap manipulasi secara real-time dan memulihkan tingkat konsentrasi untuk membatalkan kerusakan. Akses tidak sah dikatakan telah terjadi melalui perangkat lunak desktop jarak jauh TeamViewer yang diinstal di salah satu dari beberapa komputer pabrik yang terhubung ke sistem kontrol.

Serangan siber pabrik Oldsmar, dan baru-baru ini insiden ransomware Colonial Pipeline, telah memicu kekhawatiran tentang potensi gangguan pada sistem kontrol industri yang digunakan di infrastruktur penting, mendorong pemerintah AS untuk mengambil langkah-langkah untuk memperkuat pertahanan dengan melindungi jaringan federal dan meningkatkan berbagi informasi antara pemerintah AS dan sektor swasta tentang masalah dunia maya, antara lain.

“Ini bukan lubang air biasa,” kata Backman. “Kami memiliki keyakinan sedang bahwa itu tidak secara langsung membahayakan organisasi mana pun. Tapi itu mewakili risiko paparan industri air dan menyoroti pentingnya mengontrol akses ke situs web yang tidak tepercaya, terutama untuk lingkungan Teknologi Operasional (OT) dan Sistem Kontrol Industri (ICS) . “

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *