前情回顾·美国水务网络威胁态势

• 白宫警告：美国关键供水系统正在遭受“致命网络攻击”

• 伊朗黑客破坏了美国地方城镇供水系统：因使用以色列的控制器

• 美国供水设施又遭黑：加州一水厂核心系统服务器被破坏

• 关基安全重大挫折！美国水务行业叫停强制性网络安全规定

安全内参4月18日消息，美国网络安全公司Mandiant的专家昨天表示，一家与俄罗斯政府有关联的黑客组织，涉嫌在1月对美国得克萨斯州一处水处理设施发动网络攻击，导致水罐溢出。

美媒CNN从当地官员处了解到，这次攻击发生在得州北部小镇缪尔舒（Muleshoe）。同时，得州至少还有两个城镇检测到了可疑的网络活动，并已采取相应的防御措施。一名官员表示，美国联邦调查局已介入调查此次黑客活动。

黑客通过访问敏感的工业设备来干扰美国水处理设施的正常运营，这类攻击在过去是十分罕见的。去年11月，宾夕法尼亚州也遭到了类似的网络攻击，当时美国官员指责伊朗是幕后黑手。

这起得州的网络事件也解释了，美国国家安全顾问沙利文上个月为何罕见地呼吁各州官员和水务部门加强网络防御。沙利文与美国环保署（EPA）署长联合发布公开信，强调“美国各地”的饮用水和污水系统正面临网络攻击，各州政府和水务部门必须加强对这一威胁的防御。

美国拥有15万个公共供水系统，其中许多系统由于资金和人员不足而难以应对网络犯罪分子和国家行为者的持续威胁，这引起了官员们的关切。

沙虫组织被指发起此次攻击

作为只有5000人口的小镇，缪尔舒黑客攻击事件最初并未引起广泛关注，因为对幕后黑手的身份仍存在疑问。但在昨天，Mandiant公开将黑客声称对缪尔舒攻击负责的Telegram频道，与俄罗斯联邦武装力量总参谋部情报总局（GRU）下属的某个单位之前的黑客活动联系在一起。

Mandiant分析师表示，目前尚不清楚是GRU策动了针对缪尔舒水处理设施的网络攻击，还是使用同一马甲的其他俄罗斯黑客声称对此次攻击负责。

这一系列事件并未影响这些城镇的饮用水供应。但如果确认是GRU或其代理人参与了这次攻击，这将意味着通常针对乌克兰的俄罗斯黑客组织行动升级，将美国关键基础设施纳入目标。

缪尔舒镇城市经理Ramon Sanchez告诉CNN，黑客入侵了一个用于工业软件的远程登录系统，该系统允许操作员与一只水罐互动。Sanchez在一封电子邮件中表示，被攻击的水罐溢出了大约30-45分钟，直到缪尔舒镇官员将被黑客攻破的工业机器下线并切换到手动操作才停止。Sanchez补充说，缪尔舒镇官员已更换被黑客攻破的软件系统，并采取了其他措施来保护网络。

水务行业网络安全专家、安全公司I&C Secure总裁Gus Serino表示，“对手们正在利用可从互联网直接访问的容易攻破的服务滥用美国的水务设施。”

Serino告诉CNN，“现行法规并没有要求解决这些容易攻破的问题。我们显然需要解决基础性的问题。”

去年10月，由于共和党州检察长发起法律挑战，美国环保署被迫撤销了针对公共水务系统的一项关键网络安全规定。

白宫副国家安全顾问兼网络和新兴技术部门负责人Anne Neuberger在周二向CNN声明中说，根据环保署提出的法规，“本可以落实简单的措施，防止最近对水务系统的攻击。无论如何，我们仍将坚定不移地努力确保美国人的水务系统免受网络攻击，也呼吁业主和运营商守护好他们的数字门户。”

Neuberger补充说，拜登政府最近建议各州官员制定安全计划，保护他们的水务系统免受黑客攻击。

附近城镇发生多起“可疑活动”

缪尔舒镇的黑客攻击在该地区引发关注。洛克尼（Lockney）镇城市经理Buster Poling告诉CNN，官员在该镇的监控与数据采集系统（SCADA）系统中检测到了“可疑活动”，这是一种用于监控水厂的工业计算机网络。该镇位于缪尔舒以东约75英里处。

在不远处的海尔森特（Hale Center）市，黑客还试图破解该市的“防火墙”，但未能成功。市长Mike Cypert在一封电子邮件中告诉CNN，该市被迫禁用了其SCADA系统的远程访问。

Cypert和Poling都没有确认这些网络攻击行为是哪些黑客发起。Poling只是表示，他认为攻击者来自国外，但拒绝提供更多细节。

Poling认为黑客试图获取洛克尼镇水井的访问权限，但是，该镇官员及时发现了这个威胁，并阻止黑客产生任何影响。

Poling通过电话告诉CNN ，“我从未经历过这种情况，但……我们意识到这些威胁是存在的。”他说，美国联邦调查局一直在调查这些活动。

联邦调查局拒绝置评。CNN已请求位于华盛顿的俄罗斯驻美大使馆对这些黑客事件发表评论。

美国环保署发言人Nick Conger在向CNN的声明中说，“由于调查正在进行，环保署无法对此特定事件发表评论。但是，我们正在与得州协调，会根据需要提供支持。”

Mandiant在周三发布的报告中宣布，GRU关联黑客组织“沙虫”（Sandworm）与披着CyberArmyofRussia_Reborn这一马甲的黑客使用的在线基础设施有很多关联。比如，Mandiant认为，由GRU资助的“沙虫”组织打造的黑客活动者马甲开通了一个YouTube频道。

“沙虫”组织因在2015-2016年发动一系列破坏性网络攻击切断乌克兰部分地区电力而闻名，该组织在近几年的俄乌战争中多次对乌克兰基础设施发动网络攻击。

Mandiant的专家表示，“沙虫”组织还使用在线马甲来放大、吹嘘他们的黑客攻击影响。

缪尔舒城市经理Sanchez告诉CNN，黑客侵入该镇工业计算机网络的那一天（1月18日），CyberArmyofRussia_Reborn团队在其Telegram频道发布了一条视频，展示他们如何操控缪尔舒镇的水阀。

Mandiant分析师Dan Black告诉CNN，“这种随意的行为反应了他们病态地追求攻击的心理影响。他们想让人觉得他们做得比实际多。”

参考资料：cnn.com

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。