水坑攻击被用来攻击佛罗里达州的供水设施

今年早些时候Oldsmar水厂黑客事件发生后进行的一项调查显示，美国佛罗里达州的一家基础设施承包商在其网站上托管了恶意代码，这被称为“水坑攻击”。

德拉戈斯研究人员肯特·巴克曼在周二发表的一篇文章中说：“这段恶意代码似乎针对的是供水设施，尤其是在佛罗里达州，更重要的是，在中毒事件发生的同一天，奥尔德斯马尔市的一名浏览器访问了它。”。

这家美国工业网络安全公司表示，该网站属于佛罗里达州一家总承包商，该承包商参与了水和废水处理设施的建设，与入侵事件无关。

水坑攻击通常允许对手通过破坏精心挑选的网站（已知该网站的成员会访问该网站）来危害特定的最终用户群，目的是访问受害者的系统并用恶意软件感染该网站。

然而，在这个具体案例中，受感染的网站没有提供攻击代码，也没有试图访问访问者的系统。相反，注入的代码起到了浏览器枚举和指纹脚本的作用，它收集了有关网站访问者的各种细节，包括操作系统、CPU、浏览器（和插件）、输入方法、摄像头、加速计、麦克风、时区、位置、视频编解码器和屏幕尺寸。

然后，收集的信息被过滤到Heroku应用程序网站（bdatac.herokuapp[.]）上托管的数据库中com）也存储了脚本。该应用程序已被删除。Dragos怀疑有人利用一个易受攻击的WordPress插件将脚本插入网站代码。

不少于1000个最终用户计算机在2020年12月20日开始的58天窗口中访问受感染的站点，在2021年2月16日修复之前。贝克曼说：“与恶意代码进行交互的人包括市政水务公司客户、州和地方政府机构、各种与水务行业相关的私营公司的计算机，以及正常的互联网机器人和网站爬虫流量。”。

“德拉戈斯的最佳评估是，一名演员在水利基础设施建设公司网站上部署了一个水坑，以收集合法的浏览器数据，目的是提高僵尸网络恶意软件模拟合法网络浏览器活动的能力，”研究人员补充道。

根据该公司收集的遥测数据，在这1000次访问中，有一次来自2月5日奥尔兹马尔市网络中的一台计算机，同一天，一名身份不明的对手通过远程访问水处理厂的SCADA系统，设法将供水中的氢氧化钠剂量增加到危险水平。

袭击者的企图最终被一名操作员挫败，该操作员设法实时捕捉到操纵行为，并恢复了浓度水平，以弥补损失。据称，未经授权的访问是通过TeamViewer远程桌面软件进行的，该软件安装在电厂连接到控制系统的几台计算机之一上。

Oldsmar工厂网络攻击，以及最近的Colonial Pipeline勒索软件事件，引发了人们对关键基础设施中部署的工业控制系统可能被篡改的担忧，促使美国政府采取措施，通过保护联邦网络、改善美国政府和私营部门在网络问题上的信息共享等方式加强防御。

“这不是一个典型的水坑，”巴克曼说。“我们有中等信心，它没有直接损害任何组织。但它确实代表了水行业的风险暴露，并强调了控制访问不受信任网站的重要性，特别是对于操作技术（OT）和工业控制系统（ICS）环境。”