Le réseau d’eau en Floride visé par un autre incident avant la tentative d’empoisonnement

Spread the love
  • Yum

Le réseau d'eau en Floride visé par un autre incident avant la tentative d'empoisonnement

Une nouvelle étude de Dragos a révélé qu’une station de traitement des eaux à Oldsmar, en Floride, où des pirates informatiques ont tenté d’empoisonner l’eau de la ville plus tôt cette année, était également impliquée dans une autre violation potentielle au même moment.

Un navigateur utilisé sur le réseau de la station a été retracé dans une attaque de type “watering hole” (attaque par point d’eau) qui aurait ciblé des services d’eau dans tout le pays. « Nous sommes moyennement convaincus que cette attaque n’a pas compromis directement une organisation », indique le rapport. « Mais elle représente un risque d’exposition pour l’industrie de l’eau et souligne l’importance de contrôler l’accès aux sites web non fiables, en particulier pour les environnements de technologie opérationnelle et de système de contrôle industriel. »

La petite ville du centre de la Floride a fait la une des journaux en février lorsque des pirates ont obtenu un accès à distance aux systèmes d’une station d’épuration locale et ont tenté d’augmenter les niveaux de certains produits chimiques pour empoisonner les habitants de la ville. L’attaque a été arrêtée avant que les niveaux d’eau ne puissent être modifiés, mais cette situation, comme la récente attaque par ransomware contre Colonial Pipeline, a mis en lumière le manque de protection d’une grande partie des infrastructures critiques aux États-Unis.

publicité

WordPress hébergeait un code malveillant

Les chercheurs de Dragos ont découvert que le site web WordPress d’une entreprise de construction d’infrastructures hydrauliques en Floride « hébergeait un code malveillant” dans le fichier de bas de page de son site afin d’attirer les opérateurs des services d’eau de l’État et d’ailleurs. Les attaquants auraient profité de l’une des nombreuses vulnérabilités que l’on peut trouver dans les plugins de WordPress et auraient inséré le code, que Dragos a identifié comme étant le logiciel malveillant Tofsee, à un moment donné en décembre 2020.

Le rapport indique que le site contenant le code malveillant « a été visité par un navigateur de la ville d’Oldsmar » le 5 février à 9 h 49, le jour même de l’empoisonnement.

La station d’épuration d’Oldsmar est loin d’être la seule organisation à avoir visité le site contenant le code malveillant, selon le rapport. Les chercheurs de Dragos ont constaté qu’entre décembre 2020 et le 16 février, date à laquelle la vulnérabilité a été traitée, plus de 1 000 ordinateurs à travers le pays ont été « profilés par le code malveillant ». Des dizaines d’ordinateurs d’agences gouvernementales locales et d’État, d’entreprises privées liées à l’industrie de l’eau, de clients de services municipaux d’eau et d’autres personnes ont visité le site pendant cette période de deux mois, selon Dragos.

Deux incidents distincts

Malgré la visite du site le même jour que l’attaque, l’attaque par point d’eau n’était pas liée à l’attaque par empoisonnement, a répété Dragos.« Nous ne comprenons pas pourquoi l’adversaire a choisi ce site spécifique d’une entreprise de construction hydraulique de Floride pour compromettre et héberger son code. Il est intéressant de noter que, contrairement à d’autres attaques de type “watering hole”, le code ne fournissait pas d’exploits et ne tentait pas d’accéder aux ordinateurs des victimes », ont écrit les chercheurs de Dragos.

« Grâce aux informations médico-légales que nous avons recueillies jusqu’à présent, la meilleure évaluation de Dragos est qu’un acteur a déployé le watering hole sur le site de l’entreprise de construction d’infrastructures hydrauliques afin de collecter des données de navigation légitimes dans le but d’améliorer la capacité du malware du botnet à se faire passer pour une activité de navigation Web légitime », indique le rapport.

Les experts en cybersécurité ont noté que le rapport confirme ce que beaucoup disent depuis des années sur l’incapacité du pays à protéger les infrastructures vitales contre les cyberattaques.

D’autres experts ont déclaré que les résultats confirmaient simplement la nécessité d’effectuer des mises à jour constantes du système de gestion de contenu d’une organisation. Selon Dirk Schrader, vice-président de New Net Technologies chargé de la recherche sur la sécurité, l’attaque a également mis en évidence la façon dont les pirates utilisent certains efforts pour apprendre ce qui fonctionne et recueillir des données, plutôt que d’exploiter les vulnérabilités pour une action spécifique. « Pour ceux qui sont sur la défensive, cela confirme la nécessité de maintenir un haut niveau de cyberhygiène et d’être capable de détecter tout changement malveillant dans l’infrastructure », a déclaré Dirk Schrader.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: