最新水处理设施网络攻击事件披露美司法部对加州水处理设施网络攻击者提起诉讼

一名来自加利福尼亚州特雷西的53岁男子因涉嫌侵入水处理设施的系统以试图删除关键软件而被指控。犯罪嫌疑人Rambler Gallo被指控“传输程序、信息、代码和命令以对受保护的计算机造成损害”，但这是一起未经授权的访问案件，而不是真正的黑客攻击。Gallo曾在一家与加州愉景湾镇签约的公司工作，负责运营该镇的水处理设施，该设施为15,000名居民提供服务。他于2016年至2020年底在该公司工作，据称在此期间他安装了软件，使他能够从个人计算机访问该设施的系统。2021年1月辞职后，他使用该远程访问软件进入供水设施的系统，并“发送命令卸载软件，该软件是该设施计算机网络的主要枢纽，保护整个水处理系统，包括水压、过滤和化学水平”。加洛面临最高10年监禁和25万美元罚款。

最新一起针对水处理设施的网络攻击

据美国检察官办公室称，加洛对愉景湾水处理设施发起网络攻击，以删除关键软件。他现在面临联邦刑事指控。

该起诉书 2023年6月27日提交，并于7月7日解封，披露了该设施遭受袭击的令人震惊的细节。根据起诉书，加洛是马萨诸塞州一家名为A公司的私人公司的全职雇员。该公司与愉景湾设施签订了合同，有权监督该镇的废水处理服务。

根据美国司法部的新闻稿，加洛在A公司任职期间（2016年7月至2020年12月），担任该公司的仪表和控制技术员。他的职责包括维护控制该设施机电过程的仪器和计算机系统，该设施为该镇的15,000名居民提供服务。

Gallo被指控在其个人电脑及A公司的私人内部网络上安装软件，以便在履行工作任务时远程访问愉景湾的电脑网络。

陪审团指控Gallo一项传输程序、信息、代码和命令以对受保护计算机造成损害的罪名。如果罪名成立，被告将面临最高10年监禁和25万美元罚款。

此外，他可能会在刑满后面临监督释放，并在必要时接受评估和赔偿。但值得注意的是，起诉书中的指控仅仅是指控，嫌疑人在被证明有罪之前将被视为无罪。

7日早上，加洛首次在联邦法院出庭，接受美国治安法官坎迪斯·A·韦斯特莫尔 (Kandis A. Westmore)的审讯。加洛的下一次出庭时间定于 2023年7月20日，由韦斯特莫尔法官接受有关释放条件的进一步听证会。

美国助理检察官辛西娅·弗雷正在凯西·塔特和凯文·科斯特洛的协助下起诉此案。联邦调查局正在调查此案。

黑客攻击的动机和原因

水务部门的网络攻击变得越来越普遍，该行业成为黑客特别容易攻击的目标，为什么？该行业拥有宝贵的关键基础设施，但缺乏先进的网络安全措施。是什么促使这些针对水部门的攻击发生？有几个因素导致黑客转向非传统目标。

一是攻击技术门槛越来越低；勒索软件即服务使不良行为者比以往更容易进行黑客攻击。业余黑客可以通过向恶意软件的创建者支付少量费用来访问复杂的勒索软件程序。因此，如今积极参与犯罪活动的黑客数量比五年前或十年前要多。

二是水务行业防御能力较弱；黑客数量的增加导致许多人考虑新类型的目标。对于黑客来说，理想的组织是几乎没有安全资源以及某种关键基础设施的组织。水行业需要集中的安全方法，许多处理和分配设施需要更关键的网络意识。他们通常缺乏针对未经授权的网络访问的保护措施，从而暴露了宝贵的基础设施。

三是恶意破坏或报复；许多水务部门网络攻击的动机似乎是基于损害或恐惧。黑客在多次攻击中试图通过各种方法毒害公共供水系统。心怀不满员工的报复或地缘政治问题的背景，均是合理的理解和解释。例如，他们可能使用远程访问工具将水处理化学品的数量更改为有毒水平。

三四经济利益驱动；经济收益也可能是一个主要动机，就像2018年北卡罗来纳州杰克逊维尔工厂发生的两起勒索软件攻击事件一样。水务部门的专业人士和行业领导者应该记住，监管机构建议组织永远不要支付赎金在勒索软件攻击中。付费会鼓励黑客继续犯罪活动，并且不能保证他们在付费后实际上会恢复受害者的数据。

重大水设施攻击案例回顾

水务在过去二十年里不得不应对网络威胁。破坏国家间稳定、公共卫生的武器……网络犯罪分子有一千个理由想要攻击水。不管出于何种动机和目的，有一点是肯定的：破坏这些基础设施的信息系统可能会产生严重且影响广泛的后果。下面回顾一下近年来的针对水务/水设施行业的重大攻击事件。

1、2021年挪威水处理基础设施

Volue是一家为多个水处理设施配备应用程序和软件的挪威公司，据称已成为 Ryuk 勒索软件的受害者。据报道，这些事件发生在2021年5月上旬，勒索软件传播到了该国200家公共供水商（Volue 的客户）的信息系统。据报道，多个客户前端平台受到影响，该公司迅速采取措施隔离并恢复受感染的系统，从而限制了对其客户的影响。Volue表示，按照目前的情况，70%的客户不会受到攻击的影响，或者现在已经超出了攻击范围。然而，此次网络攻击的全部细节尚不清楚，调查正在进行中。

2、2021年在美国旧金山和佛罗里达州两座污水处理厂

回到美国，前往加州旧金山湾区。据报道，2021年1月，攻击者控制了当地一家水处理设施，并删除了涉及饮用水处理的计算机程序。美国当局仍在对这次攻击进行分析，但初步迹象表明，网络犯罪分子使用前员工的凭据侵入了工厂的系统，这些凭据用于连接TeamViewer远程控制软件。

接下来的一个月，即2021年2月，佛罗里达州奥兹马尔镇险些避免了一场健康灾难。据称，网络犯罪分子控制了该市的废水处理设施，该设施的计算机系统保护不力。根据调查的第一个要素，两个入口点被认为允许了攻击：据报道，攻击者收集了多名员工共享的TeamViewer登录凭据，然后利用Windows 7操作系统中存在的缺陷。这种入侵将使网络犯罪分子能够显着提高氢氧化钠的含量，从而使饮用水剧毒。幸运的是，设施工作人员迅速控制了局势，使大约15,000名Oldsmar居民免于中毒。

但据来美国警方发布的消息，佛罗里达州奥兹马尔水厂投毒事件证实是一起误操作事件。

3、2019年美国堪萨斯州某供水公司

2019 年 3 月，堪萨斯州埃尔斯沃思县的公共自来水公司成为一名前员工恶意行动的目标。据称，肇事者远程控制了该公司的信息系统，以改变为民众提供的饮用水的处理方式。这名前雇员此前曾在工厂的监控系统工作过，他离开公司时，他的访问权限并未被撤销。

4、2018年美国北卡罗来纳州某供水公司

2018年10月上旬，位于北卡罗来纳州杰克逊维尔的昂斯洛供水和污水管理局 (ONWASA)遭到两次黑客攻击。据报道，10月3日，Emotet勒索软件在该公司的信息系统中传播，大约十天后 Ryuk 勒索软件也随之传播。该公司为不少于15万户家庭供水，被迫关闭部分 IT 基础设施，以限制恶意软件的传播。双重攻击不会中断供水和废水处理系统的运行，但ONWASA的许多数据库和关键元素都会被加密。因此，该公司被迫放慢了几周的活动并重建了一些信息系统。

5、2016年美国密歇根州的一家公共提供商

在密歇根州，兰辛水电局 (BWL) 成为勒索软件攻击的受害者。据称，一名员工点击了恶意电子邮件附件。此次攻击并未影响供水和供电系统，但勒索软件导致BWL的部分业务无法使用，包括电话线和客户服务。随后，董事们选择支付网络犯罪分子所要求的25,000美元赎金，以恢复正常的业务运营。不要在家尝试这个。

6、2013年美国佐治亚州的一家饮用水厂

2013年4月，乔治亚州北部一个小镇的饮用水设施遭到物理攻击。没有门窗被闯入，袭击者被认为是在进入监控系统之前通过铁丝网进入车站的。随后，他们更改了氟和氯设置，导致管理公司建议400名居民几天内不要使用自来水。当被问及潜在的肇事者时，车站总经理表示，员工的车辆受到追踪，袭击发生时没有一辆靠近车站。然后他补充说，前雇员仍然可能拥有他们不知道的钥匙或通行证......

7、2007年（美国）加利福尼亚州的运河系统

2007年夏天，加利福尼亚州一个小型运河系统（位于Willows 的 Tehama Colusa运河管理局）的一名前雇员被指控在用于从萨克拉门托河引水用于灌溉目的的计算机上安装未经授权的软件。该安装损坏了作为SCADA系统一部分的计算机。这位负责公司IT系统的前主管仍然拥有现场访问权限。

8、2000年澳大利亚马卢奇郡的一座污水处理厂

2000年3月至4月期间，澳大利亚Maroochy污水处理厂的一名前技术承包商出于恶意目的控制了该厂的系统。据称，在他的就业申请被拒绝后，他通过发送虚假命令劫持了多个泵的活动。随后其中一台水泵停止工作，导致废水排入海底，毒害当地动植物，并在周围地区产生恶臭……在成功之前，据信该人已经进行了至少46次尝试在不被发现的情况下侵入工厂的信息系统。这次攻击凸显了水世界面对网络威胁的脆弱性。

9、2020年以色列的再生水库

现在我们的名单将我们带到中东，准确地说是以色列。据报道，2020年12月上旬，一群伊朗袭击者揭露了一个循环水库控制系统的缺陷。据网络犯罪分子称，HMI（人机界面）系统可以从互联网访问，无需任何身份验证，从而允许任何恶意个人控制某些参数，例如水温或水压。

10、2020年以色列水泵

2020年6月，以色列当局报告称，加利利地区的农用水泵以及马泰赫耶胡达省的供水系统也遭到袭击。攻击的细节尚未公布，但据信网络犯罪分子再次试图通过改变氯含量来改变水的质量。

11、2020年以色列泵站和处理设施

以色列的恐怖年。据报道，2020年4月，涉嫌与伊朗政权有关联的网络犯罪分子袭击了多个泵站和废水处理设施，并试图提高为部分以色列人口供水的一些供水系统中的氯含量。据报道，政府迅速予以反击，促使该国所有水利和能源基础设施更改所有 SCADA系统的密码，以防止任何进一步的入侵。

参考资源 

1、https://www.securityweek.com/former-contractor-employee-charged-for-hacking-california-water-treatment-facility/

2、https://www.justice.gov/usao-ndca/pr/tracy-resident-charged-computer-attack-discovery-bay-water-treatment-facility

3、https://www.stormshield.com/news/twenty-years-of-cyber-attacks-on-the-world-of-water/

原文来源：网空闲话plus

“投稿联系方式：孙中豪 010-82992251   [email protected]”

原文始发于微信公众号（关键基础设施安全应急响应中心）：最新水处理设施网络攻击事件披露--美司法部对加州水处理设施网络攻击者提起诉讼