Le piratage de l’eau d’Oldsmar est survenu après la visite d’un site Web compromis par un ordinateur de la ville

OLDSMAR, Floride – Un ordinateur de la ville d’Oldsmar aurait visité un site Web hébergeant un code malveillant ciblant les services d’eau dans les heures qui ont précédé le piratage du plan de traitement de l’eau de la ville, selon un nouveau rapport de la société de sécurité Dragos. essayez d’empoisonner l’approvisionnement en eau avec de la lessive, mais cela a été découvert avant que des dommages ne puissent être causés. Alors que le site Web n’a finalement pas joué de rôle dans le piratage du système d’approvisionnement en eau à Oldsmar, Dragos a déclaré que l’incident global avait mis en lumière la sécurité informatique de l’infrastructure aux États-Unis.

le code était un site d’entrepreneur des services d’eau de Floride. Dragos a qualifié l’attaque d ‘«attaque de point d’eau». Selon le Computer Security Resource Center, une attaque de point d’eau met en scène un attaquant «compromettant un site susceptible d’être visité par un groupe particulier, plutôt que d’attaquer directement le groupe cible.

» Dans le cas de l’attaque d’Oldsmar, Dragos a trouvé du code dommageable. inséré dans le pied de page d’un site WordPress associé à une entreprise de construction d’infrastructures hydrauliques en Floride. » Dragos a supposé que le code avait été inséré via des plugins WordPress vulnérables.

Une fois le code inséré dans le site légitime, les attaquants ont commencé à collecter des informations.Selon le rapport Dragos, le piratage du site a commencé le 20 décembre 2020 et était là jusqu’au 16 février 2021. Alors que le code malveillant était en direct, le site a interagi avec «des ordinateurs des clients des services d’eau municipaux, des agences gouvernementales étatiques et locales, diverses entreprises privées liées à l’industrie de l’eau, et le trafic normal des robots Internet et des robots d’exploration de sites Web».

Dragos a déclaré que «plus de 1000 ordinateurs des utilisateurs finaux ont été profilés par le code», la plupart se trouvant aux États-Unis et dans l’État de Floride. Pour l’attaque d’Oldsmar, Dragos a trouvé qu’un ordinateur sur un réseau appartenant à la ville était allé sur le site infecté. à 9h49 le 5 février 2021.

Dragos a déclaré que le même réseau de la ville était l’endroit où un acteur inconnu, probablement distinct des criminels qui ont mis le code malveillant sur le site Web, «aurait compromis un ordinateur d’une usine de traitement de l’eau sur le matin du 5 février et a tenté d’empoisonner l’approvisionnement en eau… »En enquêtant sur Dragos, il a été en mesure de déterminer que le malveillant était capable de collecter plus de 100 données sur les visiteurs, notamment: le système d’exploitation et le processeur, le type de navigateur, les points de contact, méthodes de saisie, présence de la caméra, du microphone, des détails de la carte graphique de la carte vidéo, des codecs vidéo, etc. Le code a conduit Dragos à un «marché sombre» en ligne, mais a également révélé ce que Dragos considérait comme la vraie nature du code malveillant. «La meilleure évaluation de Dragos est qu’un acteur a déployé le point d’eau sur le site de l’entreprise de construction d’infrastructures hydrauliques pour collecter des les données du navigateur dans le but d’améliorer la capacité du botnet malware à se faire passer pour une activité légitime du navigateur Web », a révélé le rapport de Dragos.

« Nous sommes moyennement convaincus qu’il (code malveillant) n’a compromis directement aucune organisation », indique le rapport. «Mais cela représente un risque d’exposition à l’industrie de l’eau et souligne l’importance de contrôler l’accès aux sites Web non fiables, en particulier pour les environnements de technologie opérationnelle (OT) et de système de contrôle industriel (ICS).» Les criminels qui ont accédé au site d’Oldsmar l’ont fait en raison à la sécurité laxiste et aux mots de passe partagés.

Plus précisément, selon le FBI, «les cyberacteurs ont probablement accédé au système en exploitant les faiblesses de la cybersécurité, notamment une mauvaise sécurité des mots de passe, et un système d’exploitation Windows 7 obsolète pour compromettre les logiciels utilisés pour gérer à distance le traitement de l’eau. L’acteur a également probablement utilisé le logiciel de partage de bureau TeamViewer pour obtenir un accès non autorisé au système. »