黑客张冠李戴or歪曲事实?英国水务公司遭勒索恐再引“投毒”担忧
一个勒索软件组织攻击了英国至少一家自来水公司,但实际上至于是谁家的系统遭到入侵破坏还存在一些混淆甚至不那么明确。
Cl0p勒索软件组织在其基于Tor的泄漏网站上声称,它已经攻陷了Thames Water 的系统,该公司标榜自己是英国最大的供水和污水处理公司,为1500万人提供服务。
然而,网络安全专家指出,虽然Cl0p其网站上列出的受害者是Thames Water公司,但作为入侵攻击证据,Tor网站上泄露的文件实际上似乎属于另一家名为South Staffordshire( 南斯塔福德郡)的水务公司,其子公司South Staffs Water和Cambridge Water服务于英国1.6百万人口和数以万计的企业。
在其泄露网站上,Cl0p用公司的地址和收入来命名Thames Water,但同一页面上显示的电话号码和第二个地址属于South Staffs Water。一些泄露的文件还提到了 South Staffordshire和South Staffs Water这两个公司。
至少一家英国当地新闻网站发布了一个危言耸听的标题——现已删除——警告称泰晤士河水黑客事件可能导致水污染。
泰晤士水务周二发表声明称,媒体报道不实。
同样在周二,南斯塔福德郡水公司发表了一份声明,确认网络攻击导致IT中断。南斯塔福德郡水务公司向其客户保证,所有服务团队都照常运营,因此不存在因网络攻击而导致长时间停服的风险。
南斯塔福德郡提供的细节很少,但表示该事件扰乱了其企业的IT网络,并声称其供应安全用水的能力并未受到影响,“这要归功于我们始终实施的强大的系统和对供水和质量的控制”。
南斯塔福德郡向客户保证供水的安全性和危言耸听的头条新闻与声称已获得公司所有系统的访问权限的黑客有关,包括根据网络犯罪分子所说的SCADA(监督控制和数据采集)系统,可以“控制水中的化学物质”的投放。
网络犯罪分子说:“改变他们水的化学成分很容易,但重要的是要注意我们对人们造成伤害不感兴趣。” 然而,在赎金支付谈判破裂后,攻击者发布了第一个被盗数据样本,其中包括护照、水处理 SCADA 系统的屏幕截图、驾驶执照等。
在公开的证据中,Clop 提供了一个包含用户名和密码的电子表格,其中包含 South Staff Water 和 South Staffordshire 的电子邮件地址。
他们发布的两个屏幕截图确实显示了人机界面 (HMI) 系统,这些系统可能允许某人篡改工业控制系统 (ICS),但一些HMI仅用于监控目的。其中一张屏幕截图显示了似乎与废水处理有关的HMI。
OT网络安全公司Radiflow的首席执行官Ilan Barda已向SecurityWeek证实,这些屏幕截图来自真实的HMI系统,它们可用于控制水净化过程中的化学物质。
“然而,这种化学过程是非线性的——微小的变化会迅速使水的pH值偏离安全范围。因此,为了保持可用的pH值水平,需要有一个在PLC级别完成的实时管理控制回路。由于通过HMI进行的此类配置更改将在PLC级别被检测到并发出警报,并且不太可能对输出供水造成损坏,”Barda解释说。
“但是请注意,当攻击者获得对此类内部OT计算机的访问权限时,他们还可以安装隐藏的恶意软件,该恶意软件将进一步在内部OT网络中传播,并可能最终触及可能造成实际损害的资产,”他补充说。“因此,即使该站点可能仍然运行,强烈建议对所有资产进行深入的网络检查,以查找此类额外的休眠/潜伏的恶意软件。”
网络犯罪分子声称在公司网络中花费数月后窃取了超过5Tb的信息。他们还声称文件没有被加密——就像在许多其他攻击中一样——受害者确实提出支付赎金,但金额太低。
另据,BleepingComputer观察,其中一份发送给目标公司的泄露文件明确写给了 South Staffordshire。 因此,很可能Clop错误地识别了他们的受害者,或者他们试图使用虚假证据敲诈一家更大的公司。
这次袭击发生在英国消费者面临严重干旱时期,该国八个地区实施了配水政策和软管禁令。 网络犯罪分子不会随意选择目标,因为在严重干旱期间袭击供水商可能会施加无法克服的压力来支付要求的赎金。不过,要做到这一点,Clop必须将其威胁重定向到正确的实体,但考虑到这件事的宣传力度,现在可能为时已晚。
数百家公司已成为Cl0p勒索软件的目标,NCC集团最近报告说,许多受害者来自工业部门。尽管几名被指控在Cl0p行动中扮演某种角色的人已被捕,但这似乎并没有产生很大的影响。
威胁行为者以水务部门的公司为目标的情况并不少见,众所周知,勒索软件组织可以访问这些组织中的SCADA系统。虽然在某些情况下,攻击者可能不太了解受感染的 ICS是如何工作的,但有些威胁参与者确切地知道他们在做什么。
供水/水务公司遭网络攻击已不是孤案,2021年已发生多起隐蔽控制、勒索、甚至投毒未遂事件。特别是发生在美国的黑客投毒佛罗里达水厂未遂致全球关注。
