今年初美国佛罗里达州一家净水厂被黑,差点导致净水下毒事件。安全公司又发现案外案,连净水厂外承包商也被卷入安全事件。
今年二月佛州奥德马尔(Oldsmar)市一家净水处理厂员工发现,有不明人士入侵公司网络及计算机软件,企图调高净水过程的氢氧化钠,使其浓度调高到正常值的100倍,幸好及时修正,未酿成大错。
消息见报后安全厂商Dragos研究发现,似乎在主要攻击之前,这家净水处理厂还陷入另一桩安全事件。Dragos发现到,净水厂的一家建筑基础架构外承包商的WordPress网站上有段恶意程序代码,并在当时进行水坑式攻击(watering hole),即从所有连向该WordPress程序代码的计算机系统搜集资料。从时间点来看,净水厂被黑事件发生当天,也有一个浏览器从奥德马市访问该网站。
细究发现,这段程序代码搜集资料起自去年12月20日,到Dragos介入修正问题前已活动58天。研究人员研判攻击者是开采了WordPress多项漏洞,成功植入该段数字指纹(fingerprinting)script。近二个月期间内和该网站有过交互的计算机包括净水厂、美国州政府、市政府单位以及和水资源有关的民营公司,以及一般合法网页机器人和网站爬虫程序。那段时间被这段程序代码分析过的用户计算机超过上千台,多数来自美国境内,特别是佛州。
进一步分析这段数字指纹script,研究人员关注到和僵尸网络程序TofSee的关联性。他们发现这恶意数字指纹script是托管在一个网络黑市,但这个黑市网站似乎真正身份是僵尸网络病毒TofSee感染设备的“报到”网站。Dragos分析TofSee已感染了1.3万台计算机。
Dragos推断,2月5日早上将近10点访问外承包商WordPress网站的浏览器,和该净水厂同一网络。巧合的是,当天早上不明人士通过净水厂控制计算机的人机接口,也黑入企图在水中下毒。
但是研究人员强调,净水厂外承包商网站的水坑式攻击和净水厂被黑似乎没有直接关联。该水坑攻击并未发布开采程序,也未访问连接的受害者计算机。研究人员推断攻击者挑选这个外承包商网站,可能是想在低调一点的地方搜集资料。
但研究人员仍相信这代表水资源产业的安全风险,也突显对使用运营科技(operational technology,OT)及工控计算机的企业而言,管控未受信任的网站访问行为的重要性。