Hacker intenta envenenar el suministro de agua de la ciudad de Florida | Hackear


Por John P. Mello Jr.

10 de febrero de 2021 4:06 a.m. PT

Un intruso cibernético irrumpió en la red informática del sistema de tratamiento de agua de una ciudad de Florida e intentó envenenarla con lejía.

La noticia del ataque fue hecha pública el lunes por funcionarios de Oldsmar, quienes revelaron que el ataque fue frustrado por un operador en la instalación pocos minutos después de su lanzamiento.

Después de acceder al sistema de agua de la ciudad a través del software utilizado por los empleados para el acceso remoto a la red, el intruso aumentó los niveles de hidróxido de sodio en el sistema de 100 partes por millón a 11.000 partes por millón.

El hidróxido de sodio, comúnmente conocido como lejía, es el ingrediente principal de los limpiadores de drenaje líquidos. En el sistema de agua, se usa en pequeñas cantidades para controlar la acidez del agua potable de la ciudad.

La planta de Oldsmar proporciona agua a empresas y a unos 15.000 habitantes.

“Debido a que el operador notó el aumento y lo redujo de inmediato, en ningún momento hubo un efecto adverso significativo en el agua que se estaba tratando”, dijo el alguacil del condado de Pinellas, Bob Gualtieri, en una conferencia de prensa.

“Es importante destacar que el público nunca estuvo en peligro”, observó.

El alcalde de Oldsmar, Eric Seidel, agregó que la buena noticia es que los protocolos de monitoreo que tiene el departamento de agua de la ciudad funcionan. “Incluso si no los hubieran detectado, hay despidos que tienen alarmas en el sistema que habrían detectado el cambio en el nivel de PH, de todos modos”, afirmó.

El lunes 8 de febrero de 2021, el alguacil Bob Gualtieri dio una conferencia de prensa sobre la intrusión ilegal al sistema de tratamiento de agua de la ciudad de Oldsmar. Estuvo acompañado por el alcalde Eric Seidel y el administrador de la ciudad Al Braithwaite.


“Lo importante es avisar a todos”, continuó. “Y creo que ese es realmente el propósito de hoy es asegurarnos de que todos se den cuenta de que este tipo de malos actores están ahí afuera. Está sucediendo. Así que fíjate bien en lo que tienes”.

El incidente está siendo investigado actualmente por la oficina del alguacil, el FBI y el Servicio Secreto.

TeamViewer dirigido

Al organizar el ataque, el actor de amenazas utilizó TeamViewer, un popular programa de control remoto que estaba siendo utilizado por el equipo de administración de agua para controlar la mezcla química del agua, explicó Chris Risley, director ejecutivo de Bastille, en San Francisco, un proveedor de protección contra amenazas móviles e inalámbricas.

“El atacante comprometió TeamViewer, quizás pirateando las contraseñas, y tomó el control del mouse para restablecer el equilibrio químico”, dijo a TechNewsWorld.

“Todo se reduce a la noción de que las personas piensan que siempre que tengan una contraseña en algo, pueden protegerla”, observó Rick Moy, vicepresidente de ventas y marketing de Redes templadas, un proveedor de microsegmentación basado en identidad en Seattle.

“Eso no es cierto”, le dijo a TechNewsWorld. “La gente puede adivinar las contraseñas. Existen herramientas de piratas informáticos para hacer eso”.

Actor aficionado

Aunque se desconocen los detalles sobre quién organizó el ataque, su modus operandi revela algo sobre ellos.

“Podemos especular razonablemente que se trataba de un aficionado”, señaló Bryson Bort, director ejecutivo de Scythe, una empresa de seguridad informática y de redes en Arlington, Virginia.

“Se muestra en su sincronización, durante el día en que se podían ver, y el uso de la herramienta sin ofuscar lo que estaban haciendo”, dijo a TechNewsWorld.

Moy estuvo de acuerdo en que un pirata informático experimentado habría ingresado al sistema de una manera más clandestina. “Fue un ataque de muy baja tecnología”, agregó.

Dado que el intruso tomó el control de la estación de trabajo del operador mientras el operador estaba sentado frente a ella, es posible que el actor de la amenaza quisiera ser atrapado en el acto de sabotear la mezcla química del agua, sostuvo Saryu Nayyar, CEO de Gurucul, una empresa de inteligencia de amenazas en El Segundo, California.

“Existe una posibilidad muy pequeña de que el atacante lo haya hecho cuándo y cómo lo hizo como una llamada de atención al operador”, dijo a TechNewsWorld.

“Se sabe que los llamados White Hat Hackers ejecutan un exploit para probar un punto cuando alguien ha ignorado sus repetidas advertencias sobre una vulnerabilidad”, explicó.

“Ese sería el escenario más improbable del ‘mejor caso’ aquí”, agregó.

Dentro de Job?

El tiempo que el intruso estuvo en el sistema, una vez por la mañana y nuevamente por la tarde, ambos por períodos muy cortos, también puede agregar algo a su perfil.

“El atacante sabía lo que buscaban”, dijo Israel Barak, CISO de Cyberazon, una empresa de respuesta y seguridad de terminales en Boston.

“Si ese es el caso, sugiere que el ataque fue realizado por alguien que conocía bien el sistema”, dijo a TechNewsWorld. “Es posible que incluso tuvieran la contraseña del sistema de supervisión remota”.

Dado que el ataque carecía de sofisticación, es poco probable que un estado-nación estuviera detrás de él, afirmó Risley. “Podría haber sido del extranjero”, dijo, “pero no muestra la profundidad, precisión o persistencia de un ataque de un Estado-nación”.

“Honestamente, un ataque de un estado-nación podría haber funcionado”, agregó.

Cuando pensamos en los ataques a los sistemas de control industrial, existe una idea errónea sobre cuál es el perfil del adversario, explicó Barak.

“Es común pensar que estos ataques son operaciones de estados-nación”, dijo. “Si bien estas instalaciones son atractivas para los grupos de estados-nación, también son el blanco permanente de muchos actores diferentes de amenazas de delitos cibernéticos”.

“Muchas veces son atacados porque son fruta madura”, continuó. “En un análisis de red amplio, un actor de amenazas encontrará una interfaz de supervisión remota, la contraseña puede ser fácil de adivinar y entrará en el sistema en busca de un día de pago rápido con un ataque de ransomware”.

Más ataques en camino

El alcalde Seidel parece haber tenido una buena razón para dar la alarma sobre los malos actores que atacan la infraestructura municipal.

“Podemos esperar más de estos ataques”, dijo Risley. “Hay docenas, o cientos, de vulnerabilidades publicadas y los municipios no son buenos para mantenerse al día con los últimos parches de seguridad en sus equipos informáticos. Por lo tanto, hay muchas oportunidades para que los piratas informáticos ejecuten este tipo de ataques”.

“Dado el tiempo de pandemia en el que nos encontramos, las herramientas y el software remotos se están volviendo omnipresentes para todo tipo de industrias y verticales”, agregó Krishnan Subramanian, investigador de seguridad en
Seguridad Menlo, una empresa de ciberseguridad en Mountain View, California.

“Esto podría significar más espacio para que los atacantes se aprovechen de las debilidades de tales herramientas”, dijo a TechNewsWorld.

Chlo Messdaghi, vicepresidente de estrategia en Seguridad Point3, un proveedor de herramientas analíticas y de capacitación para la industria de la seguridad en Baltimore también advirtió que los municipios deberían esperar más ataques.

“Los atacantes saben que las personas no se comunican con sus colegas y el personal de TI como solían hacerlo, y saben que muchas personas ni siquiera están físicamente en el sitio”, dijo a TechNewsWorld.

“Imagínese a un ladrón caminando por un estacionamiento oscuro revisando las puertas de un automóvil”, dijo. “Las posibilidades de que se encuentre con una puerta abierta son buenas”.


John P. Mello Jr. ha sido reportero de ECT News Network desde 2003. Sus áreas de enfoque incluyen ciberseguridad, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado numerosas publicaciones, incluida la Boston Business Journal, la
Boston Phoenix, Megapixel.Net y Noticias de seguridad del gobierno. Envíe un correo electrónico a John.

.



Source link