Un intruso cibernético irrumpió en la red informática del sistema de tratamiento de agua de una ciudad de Florida e intentó envenenarlo con lejía.
Los funcionarios de Oldsmar hicieron público el ataque el lunes y revelaron que fue frustrado por un operador en la instalación a los pocos minutos del lanzamiento.
Después de ingresar al sistema de agua de la ciudad a través del software que usan los empleados para el acceso remoto a la red, el intruso aumentó el nivel de hidróxido de sodio en el sistema de 100 partes por millón a 11,000 partes por millón.
El hidróxido de sodio, comúnmente conocido como lejía, es el ingrediente principal de los limpiadores de desagües líquidos. En los sistemas de agua, se utiliza en pequeñas cantidades para controlar la acidez del agua potable urbana.
La planta de Oldsmar proporciona agua a empresas y aproximadamente a 15.000 residentes.
«Como el operador notó el aumento en el agua e inmediatamente redujo la cantidad, no hubo ningún efecto adverso aparente en el agua tratada», dijo el alguacil del condado de Pinellas, Bob Gultieri, en un comunicado de prensa.
«Es importante que el público nunca esté en riesgo», dijo.
El alcalde de Oldsmar, Eric Seidel, agregó que la buena noticia era que los protocolos de monitoreo establecidos por la autoridad de agua de la ciudad estaban funcionando. «Incluso si no los detectaran, la redundancia en el sistema detectaría cambios en los niveles de pH, pase lo que pase», afirmó.
El lunes 8 de febrero de 2021, el alguacil Bob Gualtieri realizó una conferencia de prensa sobre la invasión del sistema de tratamiento de agua en la ciudad de Ozmar. El alcalde Eric Seidel y el administrador de la ciudad Al Braithwaite se unieron a él.
«Es importante que todos lo noten», continuó. «Y creo que el verdadero propósito de hoy es asegurarnos de que todos se den cuenta de que estos malos actores están ahí afuera. Está sucediendo. Así que analicen detenidamente todo lo que tienen».
La oficina del alguacil, el FBI y el Servicio Secreto están investigando el incidente.
Objetivos de TeamViewer
Al lanzar un ataque, el atacante utiliza Visor de equipoChris Risley, director ejecutivo de Bastille en San Francisco, explicó que es un popular programa de control remoto que los equipos de gestión del agua utilizan para controlar la mezcla química del agua, un proveedor de protección contra amenazas móviles e inalámbricas.
«Los atacantes pueden haber comprometido TeamViewer al descifrar el código y tomar el control del mouse para restablecer el equilibrio químico», dijo a TechNewsWorld.
«Todo se reduce a esta noción de que las personas piensan que mientras tengan una contraseña, pueden protegerla», dijo Rick Moy, vicepresidente de ventas y marketing. red templadaun proveedor de microsegmentación basado en identidad en Seattle.
«Eso no es cierto», dijo a TechNewsWorld. «La gente puede adivinar las contraseñas. Hay herramientas de piratería para hacer eso».
actor aficionado
Si bien los detalles sobre quién llevó a cabo los ataques no están claros, su modus operandi arroja algo de luz sobre sus circunstancias.
«Podemos suponer razonablemente que se trata de un aficionado», dijo Bryson Bort, director ejecutivo de Scythe, empresa de seguridad informática y de redes con sede en Arlington, Virginia.
Le dijo a TechNewsWorld: «Muestra su tiempo, en los días en que se pueden ver, y el uso de la herramienta sin confundir lo que están haciendo».
Moy está de acuerdo en que los piratas informáticos experimentados ingresan al sistema de una manera más secreta. «Fue un ataque de muy baja tecnología», agregó.
Debido a que un intruso tomó el control de la estación de trabajo de un operador mientras el operador estaba sentado frente a ella, es posible que los actores de amenazas quieran quedar atrapados en la mezcla química que destruye el agua, dijo el director ejecutivo de Saryu Nayyar. Gurukuluna firma de inteligencia de amenazas en El Segundo, California.
«Es muy poco probable cuándo y cómo un atacante haría esto, como una llamada de atención para los operadores», dijo a TechNewsWorld.
«Se sabe que los llamados hackers de sombrero blanco realizan exploits para demostrar que alguien ignoró sus repetidas advertencias sobre la vulnerabilidad», explicó.
«Este sería el ‘mejor escenario’ muy poco probable aquí», agregó.
trabajo interno?
La cantidad de tiempo que un intruso está en un sistema (una vez por la mañana, una vez por la tarde, por períodos cortos de tiempo) también puede aumentar su perfil.
“Los atacantes saben lo que van a hacer”, dijo Israel Barak, jefe de seguridad de la información de Israel. Motivo de la reduna empresa de respuesta y seguridad de punto final en Boston.
«Si es así, eso sugiere que el ataque fue realizado por alguien familiarizado con el sistema», dijo a TechNewsWorld. «Incluso pueden tener contraseñas para sistemas de monitoreo remoto».
Risley afirmó que debido a que el ataque carecía de sofisticación, era poco probable que un estado-nación lo respaldara. «Puede haber venido del extranjero», dijo, «pero no muestra la profundidad, precisión o persistencia del ataque del estado-nación».
«Honestamente, un ataque de estado-nación podría funcionar», agregó.
Barak explicó que cuando pensamos en ataques a sistemas de control industrial, hay una mala interpretación de las características del atacante.
“Estos ataques a menudo se consideran operaciones de un estado-nación”, dijo. «Si bien estas instalaciones son atractivas para los grupos de estados-nación, también continúan siendo el objetivo de muchos actores de amenazas cibernéticas diferentes».
«Muchas veces, son el objetivo porque son la fruta madura», continuó. «En un escaneo extenso de la red, los actores de amenazas encontrarán una interfaz de monitoreo remoto, donde las contraseñas pueden ser fáciles de adivinar, e ingresarán a los sistemas en busca de días de pago rápidos a través de ataques de ransomware».
Más ataques por venir
El alcalde Seidl parece tener buenas razones para hacer sonar la alarma sobre los malos actores que apuntan a la infraestructura municipal.
«Podemos esperar más ataques como este», dijo Risley. «Hay docenas o cientos de vulnerabilidades publicadas, y los municipios no son muy buenos para mantenerse al día con los últimos parches de seguridad en sus equipos informáticos. Por lo tanto, hay muchas oportunidades para que los piratas informáticos realicen este tipo de ataques».
«Dado que estamos en una época de pandemia, las herramientas y el software remotos se están volviendo ubicuos y aplicables a todo tipo de industrias y verticales», agregó el investigador de seguridad Krishnan Subramanian. seguridad monroeuna firma de ciberseguridad en Mountain View, California.
«Esto podría significar más espacio para que los atacantes exploten las debilidades de tales herramientas», dijo a TechNewsWorld.
Chlo Messdaghi, vicepresidente de estrategia Seguridad Point3Un proveedor de Baltimore de herramientas de análisis y capacitación para la industria de la seguridad también advirtió que los municipios deberían esperar más ataques.
«Los atacantes saben que las personas no se comunican con sus colegas y TI tanto como solían hacerlo, y saben que muchos de ellos ni siquiera están allí», dijo a TechNewsWorld.
«Imagínese a un ladrón caminando por un estacionamiento oscuro revisando las puertas de los autos», dijo. «Hay una buena posibilidad de que se encuentre con una puerta abierta».
