最新水處理設施網絡攻擊事件披露--美司法部對加州水處理設施網絡攻擊者提起訴訟

一名來自加利福尼亞州特雷西的53歲男子因涉嫌侵入水處理設施的系統以試圖刪除關鍵軟件而被指控。犯罪嫌疑人Rambler Gallo被指控“傳輸程序、信息、代碼和命令以對受保護的計算機造成損害”，但這是一起未經授權的訪問案件，而不是真正的黑客攻擊。Gallo曾在一家與加州愉景灣鎮簽約的公司工作，負責運營該鎮的水處理設施，該設施為15,000名居民提供服務。他于2016年至2020年底在該公司工作，據稱在此期間他安裝了軟件，使他能夠從個人計算機訪問該設施的系統。2021年1月辭職后，他使用該遠程訪問軟件進入供水設施的系統，并“發送命令卸載軟件，該軟件是該設施計算機網絡的主要樞紐，保護整個水處理系統，包括水壓、過濾和化學水平”。加洛面臨最高10年監禁和25萬美元罰款。

最新一起針對水處理設施的網絡攻擊

據美國檢察官辦公室稱，加洛對愉景灣水處理設施發起網絡攻擊，以刪除關鍵軟件。他現在面臨聯邦刑事指控。

該起訴書 2023年6月27日提交，并于7月7日解封，披露了該設施遭受襲擊的令人震驚的細節。根據起訴書，加洛是馬薩諸塞州一家名為A公司的私人公司的全職雇員。該公司與愉景灣設施簽訂了合同，有權監督該鎮的廢水處理服務。

根據美國司法部的新聞稿，加洛在A公司任職期間（2016年7月至2020年12月），擔任該公司的儀表和控制技術員。他的職責包括維護控制該設施機電過程的儀器和計算機系統，該設施為該鎮的15,000名居民提供服務。

Gallo被指控在其個人電腦及A公司的私人內部網絡上安裝軟件，以便在履行工作任務時遠程訪問愉景灣的電腦網絡。

陪審團指控Gallo一項傳輸程序、信息、代碼和命令以對受保護計算機造成損害的罪名。如果罪名成立，被告將面臨最高10年監禁和25萬美元罰款。

此外，他可能會在刑滿后面臨監督釋放，并在必要時接受評估和賠償。但值得注意的是，起訴書中的指控僅僅是指控，嫌疑人在被證明有罪之前將被視為無罪。

7日早上，加洛首次在聯邦法院出庭，接受美國治安法官坎迪斯·A·韋斯特莫爾 (Kandis A. Westmore)的審訊。加洛的下一次出庭時間定于 2023年7月20日，由韋斯特莫爾法官接受有關釋放條件的進一步聽證會。

美國助理檢察官辛西婭·弗雷正在凱西·塔特和凱文·科斯特洛的協助下起訴此案。聯邦調查局正在調查此案。

黑客攻擊的動機和原因

水務部門的網絡攻擊變得越來越普遍，該行業成為黑客特別容易攻擊的目標，為什么？該行業擁有寶貴的關鍵基礎設施，但缺乏先進的網絡安全措施。是什么促使這些針對水部門的攻擊發生？有幾個因素導致黑客轉向非傳統目標。

一是攻擊技術門檻越來越低；勒索軟件即服務使不良行為者比以往更容易進行黑客攻擊。業余黑客可以通過向惡意軟件的創建者支付少量費用來訪問復雜的勒索軟件程序。因此，如今積極參與犯罪活動的黑客數量比五年前或十年前要多。

二是水務行業防御能力較弱；黑客數量的增加導致許多人考慮新類型的目標。對于黑客來說，理想的組織是幾乎沒有安全資源以及某種關鍵基礎設施的組織。水行業需要集中的安全方法，許多處理和分配設施需要更關鍵的網絡意識。他們通常缺乏針對未經授權的網絡訪問的保護措施，從而暴露了寶貴的基礎設施。

三是惡意破壞或報復；許多水務部門網絡攻擊的動機似乎是基于損害或恐懼。黑客在多次攻擊中試圖通過各種方法毒害公共供水系統。心懷不滿員工的報復或地緣政治問題的背景，均是合理的理解和解釋。例如，他們可能使用遠程訪問工具將水處理化學品的數量更改為有毒水平。

三四經濟利益驅動；經濟收益也可能是一個主要動機，就像2018年北卡羅來納州杰克遜維爾工廠發生的兩起勒索軟件攻擊事件一樣。水務部門的專業人士和行業領導者應該記住，監管機構建議組織永遠不要支付贖金在勒索軟件攻擊中。付費會鼓勵黑客繼續犯罪活動，并且不能保證他們在付費后實際上會恢復受害者的數據。

重大水設施攻擊案例回顧

水務在過去二十年里不得不應對網絡威脅。破壞國家間穩定、公共衛生的武器……網絡犯罪分子有一千個理由想要攻擊水。不管出于何種動機和目的，有一點是肯定的：破壞這些基礎設施的信息系統可能會產生嚴重且影響廣泛的后果。下面回顧一下近年來的針對水務/水設施行業的重大攻擊事件。

1、2021年挪威水處理基礎設施

Volue是一家為多個水處理設施配備應用程序和軟件的挪威公司，據稱已成為 Ryuk 勒索軟件的受害者。據報道，這些事件發生在2021年5月上旬，勒索軟件傳播到了該國200家公共供水商（Volue 的客戶）的信息系統。據報道，多個客戶前端平臺受到影響，該公司迅速采取措施隔離并恢復受感染的系統，從而限制了對其客戶的影響。Volue表示，按照目前的情況，70%的客戶不會受到攻擊的影響，或者現在已經超出了攻擊范圍。然而，此次網絡攻擊的全部細節尚不清楚，調查正在進行中。

2、2021年在美國舊金山和佛羅里達州兩座污水處理廠

回到美國，前往加州舊金山灣區。據報道，2021年1月，攻擊者控制了當地一家水處理設施，并刪除了涉及飲用水處理的計算機程序。美國當局仍在對這次攻擊進行分析，但初步跡象表明，網絡犯罪分子使用前員工的憑據侵入了工廠的系統，這些憑據用于連接TeamViewer遠程控制軟件。

接下來的一個月，即2021年2月，佛羅里達州奧茲馬爾鎮險些避免了一場健康災難。據稱，網絡犯罪分子控制了該市的廢水處理設施，該設施的計算機系統保護不力。根據調查的第一個要素，兩個入口點被認為允許了攻擊：據報道，攻擊者收集了多名員工共享的TeamViewer登錄憑據，然后利用Windows 7操作系統中存在的缺陷。這種入侵將使網絡犯罪分子能夠顯著提高氫氧化鈉的含量，從而使飲用水劇毒。幸運的是，設施工作人員迅速控制了局勢，使大約15,000名Oldsmar居民免于中毒。

但據來美國警方發布的消息，佛羅里達州奧茲馬爾水廠投毒事件證實是一起誤操作事件。

3、2019年美國堪薩斯州某供水公司

2019 年 3 月，堪薩斯州埃爾斯沃思縣的公共自來水公司成為一名前員工惡意行動的目標。據稱，肇事者遠程控制了該公司的信息系統，以改變為民眾提供的飲用水的處理方式。這名前雇員此前曾在工廠的監控系統工作過，他離開公司時，他的訪問權限并未被撤銷。

4、2018年美國北卡羅來納州某供水公司

2018年10月上旬，位于北卡羅來納州杰克遜維爾的昂斯洛供水和污水管理局 (ONWASA)遭到兩次黑客攻擊。據報道，10月3日，Emotet勒索軟件在該公司的信息系統中傳播，大約十天后 Ryuk 勒索軟件也隨之傳播。該公司為不少于15萬戶家庭供水，被迫關閉部分 IT 基礎設施，以限制惡意軟件的傳播。雙重攻擊不會中斷供水和廢水處理系統的運行，但ONWASA的許多數據庫和關鍵元素都會被加密。因此，該公司被迫放慢了幾周的活動并重建了一些信息系統。

5、2016年美國密歇根州的一家公共提供商

在密歇根州，蘭辛水電局 (BWL) 成為勒索軟件攻擊的受害者。據稱，一名員工點擊了惡意電子郵件附件。此次攻擊并未影響供水和供電系統，但勒索軟件導致BWL的部分業務無法使用，包括電話線和客戶服務。隨后，董事們選擇支付網絡犯罪分子所要求的25,000美元贖金，以恢復正常的業務運營。不要在家嘗試這個。

6、2013年美國佐治亞州的一家飲用水廠

2013年4月，喬治亞州北部一個小鎮的飲用水設施遭到物理攻擊。沒有門窗被闖入，襲擊者被認為是在進入監控系統之前通過鐵絲網進入車站的。隨后，他們更改了氟和氯設置，導致管理公司建議400名居民幾天內不要使用自來水。當被問及潛在的肇事者時，車站總經理表示，員工的車輛受到追蹤，襲擊發生時沒有一輛靠近車站。然后他補充說，前雇員仍然可能擁有他們不知道的鑰匙或通行證......

7、2007年（美國）加利福尼亞州的運河系統

2007年夏天，加利福尼亞州一個小型運河系統（位于Willows 的 Tehama Colusa運河管理局）的一名前雇員被指控在用于從薩克拉門托河引水用于灌溉目的的計算機上安裝未經授權的軟件。該安裝損壞了作為SCADA系統一部分的計算機。這位負責公司IT系統的前主管仍然擁有現場訪問權限。

8、2000年澳大利亞馬盧奇郡的一座污水處理廠

2000年3月至4月期間，澳大利亞Maroochy污水處理廠的一名前技術承包商出于惡意目的控制了該廠的系統。據稱，在他的就業申請被拒絕后，他通過發送虛假命令劫持了多個泵的活動。隨后其中一臺水泵停止工作，導致廢水排入海底，毒害當地動植物，并在周圍地區產生惡臭……在成功之前，據信該人已經進行了至少46次嘗試在不被發現的情況下侵入工廠的信息系統。這次攻擊凸顯了水世界面對網絡威脅的脆弱性。

9、2020年以色列的再生水庫

現在我們的名單將我們帶到中東，準確地說是以色列。據報道，2020年12月上旬，一群伊朗襲擊者揭露了一個循環水庫控制系統的缺陷。據網絡犯罪分子稱，HMI（人機界面）系統可以從互聯網訪問，無需任何身份驗證，從而允許任何惡意個人控制某些參數，例如水溫或水壓。

10、2020年以色列水泵

2020年6月，以色列當局報告稱，加利利地區的農用水泵以及馬泰赫耶胡達省的供水系統也遭到襲擊。攻擊的細節尚未公布，但據信網絡犯罪分子再次試圖通過改變氯含量來改變水的質量。

11、2020年以色列泵站和處理設施

以色列的恐怖年。據報道，2020年4月，涉嫌與伊朗政權有關聯的網絡犯罪分子襲擊了多個泵站和廢水處理設施，并試圖提高為部分以色列人口供水的一些供水系統中的氯含量。據報道，政府迅速予以反擊，促使該國所有水利和能源基礎設施更改所有 SCADA系統的密碼，以防止任何進一步的入侵。

參考資源 

1、https://www.securityweek.com/former-contractor-employee-charged-for-hacking-california-water-treatment-facility/

2、https://www.justice.gov/usao-ndca/pr/tracy-resident-charged-computer-attack-discovery-bay-water-treatment-facility

3、https://www.stormshield.com/news/twenty-years-of-cyber-attacks-on-the-world-of-water/