Watering hole-támadások floridai víziközmű cégek ellen

Az ICS cyber security blog vendégposztja:
Watering hole-támadások floridai víziközmű cégek ellen

2021. május 22.icscybersec

A floridai Oldsmar viziközmű vállalatának ICS rendszere elleni támadás meglehetősen nagy visszhangot keltett (én is írtam róla), most pedig a Dragos egy érdekes elemzést publikált, amiben arról írnak, hogy az Oldsmar-i incidens vizsgálata során egy olyan támadó nyomait fedezték fel, aki(k?) egy, a floridai vízmű-cégek számára szolgáltató vállalat weblapját használták fel egy watering hole támadás-sorozathoz, amelyben főként, de korántsem kizárólag floridai szervezektől érkező felhasználók adatait gyűjtötték a támadók. A vizsgálat során gyűjtött telemetriai adatok alapján az derült ki, hogy sok más szervezet munkatársai mellett az Oldsmar-i viziközmű cég egyik munkatársa is letöltötte a támadók által kártékony kóddal preparált weboldalt, ráadásul ugyanazon a napon, mint amikor a támadás történt. Vajon ez véletlen volt? (Valakitől, valahol egyszer azt hallottam, hogy nem szereti a véletleneket, túl sok szervezést igényelnek…)

A vizsgálatról készült részletes elemzés a Dragos blogján érhető el, engem most ez az eset azért késztetett posztírásra, hogy megpróbáljam kihangsúlyozni: a jelenkori kibertámadások és különösképpen az ICS/OT kibertámadások esetén célszerű óvakodni a gyorsan levont, sarkos következtetésekről, ilyen esetekben célszerű a megfelelő forensics szakértők bevonásával minél alaposabb elemzéseket készítenie az incidenst elszenvedett cégnek, akik pedig (hozzám hasonlóan) az ilyen incidensekről a partvonalról írnak, hasznos, ha a hangzatos következtetések levonásával megvárják a részletesebb információkat az adott esettel kapcsolatban.

***

A vendégposzt eredetije az ICS cyber security blogon jelent meg.