Os pesquisadores dizem que encontraram várias credenciais roubadas e vazadas de uma estação de tratamento de água da Flórida, que foi hackeada na semana passada.

Pesquisadores da CyberNews disseram ter encontrado 11 pares de credenciais vinculados à planta de água Oldsmar, em uma compilação de 2017 de credenciais de violação roubadas. Enquanto isso, eles também encontraram 13 pares de credenciais na mais recente “compilação de muitas violações” - COMB para abreviar - que ocorreu poucos dias antes do ataque.

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

Esta coleção vazou na comunidade de crimes cibernéticos do RaidForums em inglês em 2 de fevereiro e contém incríveis 3,27 bilhões de combinações únicas de endereços de e-mail e senhas em texto não criptografado em um banco de dados agregado.

É importante ressaltar que as autoridades não estabeleceram publicamente nenhuma conexão entre as credenciais descobertas nos bancos de dados de violação de credenciais vazados e o ataque na semana passada.

The Florida Water Plant Hack

O ataque à estação de tratamento de água Oldsmar, na Flórida, ocorreu na última sexta-feira, quando um invasor usou o acesso remoto ao sistema para alterar o nível de hidróxido de sódio, mais conhecido como soda cáustica, na água de 100 partes por milhão para 11.100 partes por milhão.

A mudança foi detectada imediatamente por um operador da planta, que alterou os níveis antes que o ataque tivesse qualquer impacto no sistema.

De acordo com um comunicado de segurança de Massachusetts publicado na quarta-feira, os invasores acessaram os controles SCADA da estação de tratamento de água através do TeamViewer, que é um software de acesso remoto. O TeamViewer foi instalado em computadores pela estação de tratamento de água, usado pelo pessoal para conduzir verificações de status do sistema e para responder a alarmes ou outros problemas que surgiram durante o processo de tratamento de água.

“Todos os computadores usados ​​pelo pessoal da planta de água foram conectados ao sistema SCADA e usaram a versão de 32 bits do sistema operacional Windows 7”, de acordo com o recente comunicado . “Além disso, todos os computadores compartilhavam a mesma senha para acesso remoto e pareciam estar conectados diretamente à Internet sem qualquer tipo de proteção de firewall instalada.”

As credenciais de violação de dados vazadas

Pesquisadores da CyberNews investigaram recentemente uma compilação de violação vazada online por hackers em 2017 e o mais recente acúmulo de dados COMB "para pesquisar credenciais do domínio ci.oldsmar.fl.us", de acordo com uma postagem de blog publicada quinta-feira por Bernard Meyer com CyberNews, e encontrou várias correspondências.

Os pesquisadores afirmam que os invasores podem ter usado as credenciais adquiridas na compilação da violação de 2017 ou no COMB no hack. No entanto, devido à data de fechamento do vazamento COMB para o ataque, é mais provável que tenha sido nesse banco de dados que os invasores encontraram as credenciais usadas na violação do sistema, observou Meyer.

O que não está claro é a idade das credenciais e se são específicas do TeamViewer ou não.

“Com relação às credenciais para o sistema de abastecimento de água da Flórida, não pudemos confirmar se eram admin ou Teamviewer por razões legais e éticas”, disse Mantas Sasnauskas, pesquisador sênior de segurança da informação da CyberNews. “Apenas apontamos o fato de que havia algum tipo de credenciais [da planta] no [banco de dados] que vazou.”

The Oldsmar Water Plant Hack: Credentials Used?

Os pesquisadores da CyberNews disseram que o ataque provavelmente ocorreu em vários estágios. “A primeira parte da cadeia de destruição cibernética seria espionagem e reconhecimento - examinar o sistema ICS, quem o controla, qual domínio eles usam para e-mails e se podem ser aceitos como nomes de usuário de login”, escreveu Meyer.

A segunda fase pode ter envolvido um ataque de preenchimento de credenciais que forneceria aos invasores acesso remoto ao sistema, disse ele. Nesse tipo de ataque, os hackers criam scripts automatizados que tentam sistematicamente IDs e senhas roubadas em várias contas até que uma correspondência seja encontrada.

Como parte disso, ele disse, o invasor pode ter verificado várias compilações para credenciais vazadas nesses domínios para pares de credenciais, que é onde o cache COMB pode ter sido útil, disse ele.

O segundo estágio da cadeia de eliminação cibernética seria as intrusões reais - neste caso, o enchimento de credenciais”, escreveu ele.

Não está claro se as credenciais COMB foram de fato usadas, mas o fato de alguns dos logins da planta terem sido encontrados no banco de dados é uma coincidência notável, disseram os pesquisadores.

Autoridades do Gabinete do Xerife do Condado de Pinellas, o FBI e o Serviço Secreto dos EUA ainda estão trabalhando juntos para investigar exatamente o que aconteceu no ataque, embora não acreditem que tenha sido patrocinado pelo Estado.

Embora as autoridades tenham afirmado que têm pistas para o ataque, ainda não sabem exatamente quem está por trás dele, onde os agressores estão localizados e qual pode ser o motivo. O incidente mais uma vez é um lembrete do efeito catastrófico em potencial que um ataque à infraestrutura crítica pode ter na segurança pública, tornando a segurança desses sistemas uma grande preocupação, disseram os especialistas em segurança.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.