Une toute nouvelle étude de Dragos a découvert qu’une usine de traitement de l’eau à Oldsmar, en Floride – l’endroit où les pirates ont tenté d’empoisonner l’eau de la ville plus tôt ces 12 mois – était également concernée par une autre violation potentielle au même moment.
Un navigateur qui s’est habitué à la communauté de l’usine a été attribué à une attaque de «point d’eau» qui visait prétendument les services d’eau dans tout le pays.
«Nous sommes moyennement convaincus que cela n’a fait aucun compromis sur aucun groupe», indique le rapport. «Cependant, cela signifie une menace publicitaire pour l’eau et met en évidence l’importance de contrôler l’accès à des sites Web non approuvés, en particulier pour les environnements de savoir-faire opérationnel et de système de gestion industrielle.»
La petite ville du centre de la Floride a diffusé des informations à l’échelle nationale en février lorsque des pirates informatiques ont découvert à distance les techniques d’une usine de traitement des eaux du quartier et ont tenté d’élever des gammes de substances chimiques sûres qui auraient pu être toxiques pour les habitants de la ville. L’assaut a été arrêté plus tôt que les plages d’eau pourraient très bien être modifiées, mais l’état des choses, tout comme le dernier assaut de ransomware sur Colonial Pipeline, a mis en évidence à quel point une grande partie de l’infrastructure vitale aux États-Unis est non protégée.
Des chercheurs de Dragos ont découvert que le site Web WordPress d’une entreprise de développement d’infrastructures hydrauliques en Floride «hébergeait du code malveillant sur Internet» dans le fichier de pied de page de leur site Web comme une solution pour attirer les opérateurs des services d’eau de l’État et d’ailleurs. Les attaquants auraient profité de l’une des nombreuses vulnérabilités qui peuvent être présentes dans les plugins de WordPress et ont inséré le code, que Dragos a reconnu en raison du malware Tofsee, à un moment non spécifié dans le futur en décembre 2020.
Le rapport a découvert que le site Web contenant le code malveillant «a été visité par un navigateur de la ville d’Oldsmar» le 5 février à 9 h 49, le jour même de l’empoisonnement.
L’usine d’eau d’Oldsmar a été retirée du seul groupe qui a visité le positionnement avec le code malveillant, sur la base du rapport. Les chercheurs de Dragos ont découvert qu’entre décembre 2020 et 16 février, lorsque la vulnérabilité a été gérée, plus de 1 000 systèmes informatiques dans tout le pays ont été «profilés par le code malveillant».
Des dizaines de systèmes informatiques d’entreprises des autorités étatiques et autochtones, de sociétés non publiques liées à l’industrie de l’eau, de prospects de services d’eau municipaux et d’autres ont visité le positionnement tout au long de cette période de deux mois, sur la base de Dragos.
Indépendamment de la visite du site le jour même de l’assaut, l’assaut de la brèche n’était pas lié à l’agression par empoisonnement, a réitéré Dragos.
«Nous ne comprenons pas pourquoi l’adversaire a choisi ce site Web particulier de la société de développement de l’eau de Floride pour compromettre et héberger son code. Curieusement, et contrairement aux différentes assauts de trou d’eau, le code n’a pas livré d’exploits ni tenté d’accéder aux systèmes informatiques des victimes », ont écrit les chercheurs de Dragos.
«Avec les données médico-légales que nous avons collectées jusqu’à présent, la meilleure évaluation de Dragos est qu’un acteur a déployé le manque d’eau sur le site Web de l’entreprise de développement d’infrastructures hydrauliques pour recueillir des informations légitimes sur le navigateur dans le but d’améliorer la capacité du malware botnet à se faire passer pour un navigateur Internet légitime exercice », mentionne le rapport.
Les spécialistes de la cybersécurité ont reconnu que le rapport confirmait ce que beaucoup mentionnent depuis des années concernant l’incapacité du pays à protéger des infrastructures très importantes contre les cyberattaques.
Invoice O’Neill, vice-président de ThycoticCentrify, a déclaré que le rapport n’était qu’un autre exemple de la façon dont les organisations font face à une série de vulnérabilités qui peuvent être exploitées à tout moment par des attaquants.
«Des attaques comme celles-ci montrent clairement que nous entrons dans une toute nouvelle période de guerre numérique. Un Pearl Harbor numérique a longtemps été une préoccupation des spécialistes alors que nos adversaires cherchent à provoquer des perturbations au sein de notre infrastructure vitale », a déclaré O’Neill. «Tout assaut principal contre notre vitalité, notre eau ou nos techniques de transport pourrait accomplir cela.»
Yaniv Bar-Dayan, PDG de Vulcan Cyber, a défini que l’assaut du trou d’eau avait l’étoffe d’un assaut vraiment raffiné et qu’il avait commencé avec un «plugin WordPress modeste et sensible».
«La remédiation des vulnérabilités est le travail souillé de la cybersécurité. Personne n’aime vraiment le faire, et cela n’obtiendra pas l’œil et les sources qu’il mérite jusqu’à ce qu’il soit trop tard », a déclaré Bar-Dayan. « Dernièrement, une vulnérabilité de plugin WordPress peut entraîner l’empoisonnement d’une source d’eau ou la destruction d’un oléoduc. »
Différents spécialistes ont mentionné que les résultats confirmaient simplement la nécessité d’apporter des mises à jour fixes au système d’administration du contenu d’une entreprise. L’agression a également mis en évidence la manière dont les pirates informatiques utilisent certains efforts pour apprendre ce qui fonctionne et collecter des informations par rapport à l’exploitation des vulnérabilités pour un mouvement particulier, sur la base du vice-président de l’analyse de la sécurité de New Internet Applied Sciences, Dirk Schrader.
«Pour ceux-ci sur la protection, cela confirme la nécessité de préserver un stade excessif de cyber-hygiène et d’avoir la capacité de détecter tout ajustement malveillant au sein de l’infrastructure», a déclaré Schrader.