Кибератака на водное хозяйство Техаса: связи с Россией и угрозы критической инфраструктуре США
Источник изображения:https://www.cnn.com/2024/04/17/politics/russia-hacking-group-suspected-texas-water-cyberattack/index.html
Группа хакеров, связанная с правительством России, подозревается в том, что в январе она осуществила кибератаку, в результате которой бак на водном объекте в Техасе переполнился, сообщила в среду экспертная группа по кибербезопасности США Mandiant.
Атака в небольшом городке Мулшью в северном Техасе совпала как минимум с двумя другими городами в северном Техасе, которые приняли профилактические меры после обнаружения подозрительной кибер активности в их сетях, сообщили CNN чиновники.
ФБР проводит расследование кибер активности, сообщил один из чиновников.
Этот инцидент стал редким примером того, как хакеры используют доступ к чувствительному промышленному оборудованию для нарушения нормальной работы на водном объекте США, после отдельной кибератаки в ноябре прошлого года на водный завод в Пенсильвании, ответственность за которую возложили на Иран.
Киберинциденты в Техасе также помогают объяснить редкий публичный призыв советника по национальной безопасности США Джека Салливана, который в прошлом месяце призвал чиновников штата и водные власти укрепить свою киберзащиту.
Кибератаки направлены на водные и сточные системы “по всей территории США”, и государственные правительства, а также водные предприятия должны укрепить свою защиту от этой угрозы, заявил Салливан в совместном письме с главой Агентства по охране окружающей среды (EPA) чиновникам штата.
Службы безопасности США обеспокоены тем, что многие из 150 000 общественных водных систем в стране не могут найти средства и персонал для борьбы с постоянными угрозами взлома со стороны преступных и государственных акторов.
Кибератаки в Техасе не привлекли большого внимания на национальном уровне, когда они произошли, поскольку оставались вопросы о том, кто стоит за этими действиями.
Однако в среду Mandiant публично связала канал в Telegram, где хакеры взяли на себя ответственность за атаку в Мулшью, с предыдущей хакерской деятельностью, проводимой известным подразделением российской военной разведки ГРУ.
Эксперты Mandiant не уверены, было ли ГРУ за кибератакой на водный объект в Мулшью, или другие русскоязычные хакеры использовали ту же личность для взятия на себя ответственности за взлом.
Серия инцидентов не повлияла на питьевую воду в городах.
Но если будет подтверждено, что ГРУ или один из его прокси были вовлечены, это будет свидетельством эскалации атак на критическую инфраструктуру США со стороны группы, которая часто известна своими действиями в отношении Украины.
В Мулшью, где проживает около 5 000 человек, хакеры получили доступ к системе удаленного входа к промышленному программному обеспечению, которое позволяет операторам взаимодействовать с водным баком, сообщил CNN менеджер города Рамон Санчес.
Бак переполнился в течение примерно 30-45 минут, прежде чем чиновники Мулшью отключили взломанную промышленную машину и перешли на ручное управление, сообщил Санчес в электронном письме.
Чиновники Мулшью заменили взломанную программную систему и предприняли другие шаги для обеспечения безопасности сети, добавил Санчес.
“Водные предприятия подвергаются нападениям со стороны противников, которые используют уязвимые сервисы, доступные непосредственно из интернета”, – сказал Гас Серино, эксперт по кибербезопасности в водном секторе и президент компании I&C Secure.
“Регулирование не требовало решения этой уязвимости”, – сказал Серино CNN.
“Это показывает довольно четкую необходимость заняться основами.”
EPA в октябре была вынуждена отменить ключевое правило кибербезопасности для общественных водных систем после юридического вызова со стороны прокуроров-республиканцев.
Правило EPA “могло бы ввести простые меры и предотвратить недавние атаки на водные системы”, – сказала Энн Нойбергер, заместитель советника по национальной безопасности по кибернетике и новым технологиям в Белом доме, заявив в интервью CNN во вторник.
“Но мы остаемся настойчивыми в наших усилиях по обеспечению защиты водных систем Америки от кибератак, призывая владельцев и операторов закрыть свои цифровые двери.”
Администрация Байдена-Харрис, добавила Нойбергер, недавно консультировала государственные власти о создании планов безопасности для защиты своих водных систем от хакеров.
‘Подозрительная активность’ в соседних городах
Взлом в Мулшью вызвал беспокойство в регионе.
В Локни, примерно в 75 милях к востоку от Мулшью, чиновники города обнаружили “подозрительную активность” в системе SCADA города – типе промышленной компьютерной сети, которая помогает контролировать водные заводы, сообщил городский менеджер Бастер Полинг CNN.
А в соседнем городе Хейл-Центер хакеры также пытались безуспешно взломать “фаервол” города, что побудило его отключить удалённый доступ к системе SCADA, сообщил менеджер города Майк Сайперт в письме.
Ни Сайперт, ни Полинг не назвали хакеров, ответственных за попытки кибератак.
Полинг только сказал, что, по его мнению, они действовали из иностранного государства, но отказался уточнять.
Полинг считает, что хакеры пытались получить доступ к водяным скважинам города, но, по его словам, чиновникам удалось вовремя обнаружить угрозу и предотвратить ее воздействия.
“Я никогда не сталкивался с этим раньше, но… мы знаем, что эти угрозы существуют”, – сказал Полинг по телефону CNN.
ФБР отказалось комментировать.
CNN запросила комментарий у посольства России в Вашингтоне по поводу киберинцидентов.
“Из-за текущего расследования EPA не может комментировать этот конкретный случай”, – заявила пресс-секретарь EPA Ник Конгер в заявлении CNN.
“Тем не менее, EPA координируется с состоянием Техаса для поддержки по мере необходимости.”
В своем отчете, опубликованном в среду, Mandiant обнаружила несколько связей между подразделением ГРУ, занимающимся саботажем и шпионажем, известным как Sandworm, и онлайн-инфраструктурой, используемой хакерами, использующими личность под названием “CyberArmyofRussia_Reborn”.
Это включает в себя канал на YouTube, управляемый хактивистом, который Mandiant считает создателем подразделения, спонсируемого ГРУ.
Sandworm наиболее известен серией разрушительных кибератак, которые отключили электроэнергию в части Украины в 2015 и 2016 годах.
Данная группа подвергала украинскую инфраструктуру кибератакам на протяжении всей текущей войны.
Sandworm также использует онлайн-персоны для увеличения и преувеличения последствий своих хакерских атак, по данным экспертов Mandiant.
18 января, в день, когда Санчес, менеджер города Мулшью, сказал CNN, что хакеры получили доступ к промышленной компьютерной сети города, группа CyberArmyofRussia_Reborn опубликовала видео на своем канале в Telegram, якобы демонстрируя манипуляцию с водяными клапанами Мулшью.
“Спонтанность является частью их патологического акцента на психологическом воздействии”, – сказал Дан Блэк, аналитик Mandiant, CNN.
“Они хотят показать, что делают больше, чем на самом деле.”