黑客張冠李戴or歪曲事實?英國水務公司遭勒索恐再引“投毒”擔憂
一個勒索軟件組織攻擊了英國至少一家自來水公司,但實際上至于是誰家的系統遭到入侵破壞還存在一些混淆甚至不那么明確。
Cl0p勒索軟件組織在其基于Tor的泄漏網站上聲稱,它已經攻陷了Thames Water 的系統,該公司標榜自己是英國最大的供水和污水處理公司,為1500萬人提供服務。
然而,網絡安全專家指出,雖然Cl0p其網站上列出的受害者是Thames Water公司,但作為入侵攻擊證據,Tor網站上泄露的文件實際上似乎屬于另一家名為South Staffordshire( 南斯塔福德郡)的水務公司,其子公司South Staffs Water和Cambridge Water服務于英國1.6百萬人口和數以萬計的企業。
在其泄露網站上,Cl0p用公司的地址和收入來命名Thames Water,但同一頁面上顯示的電話號碼和第二個地址屬于South Staffs Water。一些泄露的文件還提到了 South Staffordshire和South Staffs Water這兩個公司。
至少一家英國當地新聞網站發布了一個危言聳聽的標題——現已刪除——警告稱泰晤士河水黑客事件可能導致水污染。
泰晤士水務周二發表聲明稱,媒體報道不實。
同樣在周二,南斯塔福德郡水公司發表了一份聲明,確認網絡攻擊導致IT中斷。南斯塔福德郡水務公司向其客戶保證,所有服務團隊都照常運營,因此不存在因網絡攻擊而導致長時間停服的風險。
南斯塔福德郡提供的細節很少,但表示該事件擾亂了其企業的IT網絡,并聲稱其供應安全用水的能力并未受到影響,“這要歸功于我們始終實施的強大的系統和對供水和質量的控制”。
南斯塔福德郡向客戶保證供水的安全性和危言聳聽的頭條新聞與聲稱已獲得公司所有系統的訪問權限的黑客有關,包括根據網絡犯罪分子所說的SCADA(監督控制和數據采集)系統,可以“控制水中的化學物質”的投放。
網絡犯罪分子說:“改變他們水的化學成分很容易,但重要的是要注意我們對人們造成傷害不感興趣。” 然而,在贖金支付談判破裂后,攻擊者發布了第一個被盜數據樣本,其中包括護照、水處理 SCADA 系統的屏幕截圖、駕駛執照等。
在公開的證據中,Clop 提供了一個包含用戶名和密碼的電子表格,其中包含 South Staff Water 和 South Staffordshire 的電子郵件地址。
他們發布的兩個屏幕截圖確實顯示了人機界面 (HMI) 系統,這些系統可能允許某人篡改工業控制系統 (ICS),但一些HMI僅用于監控目的。其中一張屏幕截圖顯示了似乎與廢水處理有關的HMI。
OT網絡安全公司Radiflow的首席執行官Ilan Barda已向SecurityWeek證實,這些屏幕截圖來自真實的HMI系統,它們可用于控制水凈化過程中的化學物質。
“然而,這種化學過程是非線性的——微小的變化會迅速使水的pH值偏離安全范圍。因此,為了保持可用的pH值水平,需要有一個在PLC級別完成的實時管理控制回路。由于通過HMI進行的此類配置更改將在PLC級別被檢測到并發出警報,并且不太可能對輸出供水造成損壞,”Barda解釋說。
“但是請注意,當攻擊者獲得對此類內部OT計算機的訪問權限時,他們還可以安裝隱藏的惡意軟件,該惡意軟件將進一步在內部OT網絡中傳播,并可能最終觸及可能造成實際損害的資產,”他補充說。“因此,即使該站點可能仍然運行,強烈建議對所有資產進行深入的網絡檢查,以查找此類額外的休眠/潛伏的惡意軟件。”
網絡犯罪分子聲稱在公司網絡中花費數月后竊取了超過5Tb的信息。他們還聲稱文件沒有被加密——就像在許多其他攻擊中一樣——受害者確實提出支付贖金,但金額太低。
另據,BleepingComputer觀察,其中一份發送給目標公司的泄露文件明確寫給了 South Staffordshire。 因此,很可能Clop錯誤地識別了他們的受害者,或者他們試圖使用虛假證據敲詐一家更大的公司。
這次襲擊發生在英國消費者面臨嚴重干旱時期,該國八個地區實施了配水政策和軟管禁令。 網絡犯罪分子不會隨意選擇目標,因為在嚴重干旱期間襲擊供水商可能會施加無法克服的壓力來支付要求的贖金。不過,要做到這一點,Clop必須將其威脅重定向到正確的實體,但考慮到這件事的宣傳力度,現在可能為時已晚。
數百家公司已成為Cl0p勒索軟件的目標,NCC集團最近報告說,許多受害者來自工業部門。盡管幾名被指控在Cl0p行動中扮演某種角色的人已被捕,但這似乎并沒有產生很大的影響。
威脅行為者以水務部門的公司為目標的情況并不少見,眾所周知,勒索軟件組織可以訪問這些組織中的SCADA系統。雖然在某些情況下,攻擊者可能不太了解受感染的 ICS是如何工作的,但有些威脅參與者確切地知道他們在做什么。
供水/水務公司遭網絡攻擊已不是孤案,2021年已發生多起隱蔽控制、勒索、甚至投毒未遂事件。特別是發生在美國的黑客投毒佛羅里達水廠未遂致全球關注。
