Une nouvelle étude de Dragos a révélé qu’une usine de traitement d’eau à Oldsmar, en Floride – où des pirates ont tenté d’empoisonner l’eau de la ville plus tôt cette année – était également impliquée dans une autre violation potentielle au même moment. Un navigateur utilisé sur le réseau de l’usine a été attribué à une attaque de «point d’eau» qui visait prétendument les services d’eau à travers le pays.
« Nous sommes moyennement convaincus qu’il n’a compromis directement aucune organisation », indique le rapport. « Mais cela représente un risque d’exposition à l’industrie de l’eau et souligne l’importance de contrôler l’accès aux sites Web non fiables, en particulier pour les environnements de technologie opérationnelle et de système de contrôle industriel. » La petite ville du centre de la Floride a fait l’actualité nationale en février lorsque des pirates ont obtenu un accès à distance aux systèmes d’une usine d’eau locale et a essayé d’élever les niveaux de certains produits chimiques qui auraient été toxiques pour les habitants de la ville. L’attaque a été arrêtée avant que les niveaux d’eau puissent être modifiés, mais la situation, comme la récente attaque de ransomware sur Colonial Pipeline, a mis en lumière à quel point une grande partie de l’infrastructure critique aux États-Unis est non protégée. Des chercheurs de Dragos ont découvert que le site Web WordPress d’une entreprise de construction d’infrastructures hydrauliques en Floride «hébergeait du code malveillant» dans le fichier de pied de page de leur site Web afin d’attirer les opérateurs des services d’eau de l’État et d’ailleurs. Les attaquants auraient profité de l’une des nombreuses vulnérabilités qui peuvent être trouvées dans les plugins de WordPress et ont inséré le code, que Dragos a identifié comme le malware Tofsee, à un moment donné en décembre 2020. a été visité par un navigateur de la ville d’Oldsmar « le 5 février à 9h39, le jour même de l’empoisonnement. L’usine d’eau d’Oldsmar était loin d’être la seule organisation à avoir visité le site avec le code malveillant, selon le rapport. Les chercheurs de Dragos ont découvert qu’entre décembre 2020 et 16 février, date à laquelle la vulnérabilité a été traitée, plus de 1 000 ordinateurs à travers le pays ont été «profilés par le code malveillant».
Selon Dragos, des dizaines d’ordinateurs d’agences gouvernementales nationales et locales, d’entreprises privées liées à l’industrie de l’eau, de clients des services d’eau municipaux et d’autres ont visité le site au cours de ces deux mois. Malgré la visite du site le jour même de l’attaque, l’attaque du point d’eau n’était pas liée à l’attaque d’empoisonnement, a réitéré Dragos. « Nous ne comprenons pas pourquoi l’adversaire a choisi ce site spécifique de la société de construction d’eau de Floride pour compromettre et héberger son code. Fait intéressant, et contrairement à d’autres attaques de points d’eau, le code n’a pas livré d’exploits ni tenté d’accéder aux ordinateurs des victimes », a déclaré Dragos les chercheurs ont écrit.
«Avec les informations médico-légales que nous avons collectées jusqu’à présent, la meilleure évaluation de Dragos est qu’un acteur a déployé le point d’eau sur le site de l’entreprise de construction d’infrastructures hydrauliques pour collecter des données de navigateur légitimes dans le but d’améliorer la capacité du malware botnet à se faire passer pour l’activité légitime du navigateur Web, « dit le rapport. Les experts en cybersécurité ont noté que le rapport confirmait ce que beaucoup disaient depuis des années sur l’incapacité du pays à protéger les infrastructures vitales contre les cyberattaques. Le vice-président de ThycoticCentrify, Bill O’Neill, a déclaré que le rapport n’était qu’un autre exemple de la façon dont les organisations traitent une série de vulnérabilités qui peuvent être exploitées à tout moment par des attaquants. « Des attaques comme celles-ci montrent clairement que nous entrons dans une nouvelle ère de guerre numérique. Un Pearl Harbor numérique a longtemps été une peur des experts alors que nos adversaires cherchent à perturber notre infrastructure critique », a déclaré O’Neill. «Toute attaque majeure contre nos systèmes d’énergie, d’eau ou de transport pourrait accomplir cela.» Yaniv Bar-Dayan, PDG de Vulcan Cyber, a expliqué que l’attaque du point d’eau avait l’étoffe d’une attaque très sophistiquée et a noté que tout a commencé par un « plugin WordPress modeste et vulnérable. » « La correction des vulnérabilités est le sale boulot de l’industrie de la cybersécurité. Personne n’aime vraiment le faire, et elle n’obtient pas l’attention et les ressources qu’elle mérite jusqu’à ce qu’il soit trop tard », a déclaré Bar-Dayan. « De nos jours, une vulnérabilité de plugin WordPress peut conduire à l’empoisonnement d’un approvisionnement en eau ou à la destruction d’un oléoduc. » D’autres experts ont déclaré que les résultats confirmaient simplement la nécessité d’apporter des mises à jour constantes au système de gestion de contenu d’une organisation. L’attaque a également mis en évidence la manière dont les pirates utilisent certains efforts pour apprendre ce qui fonctionne et collecter des données plutôt que de tirer parti des vulnérabilités pour toute action spécifique, selon Dirk Schrader, vice-président de la recherche sur la sécurité de New Net Technologies. maintenir un niveau élevé de cyber-hygiène et être en mesure de détecter tout changement malveillant dans l’infrastructure », a déclaré Schrader.