Свързана с Русия хакерска група, заподозряна в извършване на кибератака срещу водно съоръжение в Тексас, твърди фирма за киберсигурност
Хакерска група, свързана с руското правителство, е заподозряна в извършването на кибератака през януари, която е причинила преливане на резервоар във водно съоръжение в Тексас, експерти от американската фирма за киберсигурност Mandiant заявиха в сряда.
Хакването в малкия град Muleshoe, в северен Тексас, съвпадна с поне два други града в северен Тексас, които предприеха предпазни защитни мерки след откриване на подозрителна киберактивност в техните мрежи, казаха градски власти пред CNN. ФБР разследва хакерската дейност, каза един от служителите.
Атаката беше рядък пример за хакери, използващи достъп до чувствително промишлено оборудване, за да нарушат редовните операции на водно съоръжение в САЩ, след отделна кибератака през ноември миналата година срещу водна централа в Пенсилвания, за която американски служители обвиниха Иран.
Кибер инцидентите в Тексас също помагат да се обясни рядък публичен призив, който съветникът по националната сигурност на САЩ Джейк Съливан отправи миналия месец към държавните служители и водните власти за укрепване на тяхната кибер защита. Кибератаките удрят системите за водоснабдяване и отпадни води „в Съединените щати“ и държавните правителства и водните съоръжения трябва да подобрят защитата си срещу заплахата, каза Съливан в съвместно писмо с шефа на Агенцията за опазване на околната среда до държавни служители.
Американски служители са загрижени, че много от 150 000 обществени водоснабдителни системи в страната се борят да намерят пари и персонал, за да се справят с постоянните хакерски заплахи от престъпни и държавни актьори.
Хакерските инциденти в Тексас не привлякоха малко национално внимание, когато се случиха, тъй като оставаха въпроси за това кой стои зад дейността. Но в сряда Mandiant публично свърза канала в Telegram, социална медийна платформа, където хакери поеха отговорност за атаката на Muleshoe с предишна хакерска дейност, извършена от прословуто звено на руското военно разузнавателно управление ГРУ.
Анализаторите на Mandiant казаха, че не е ясно дали ГРУ стои зад кибератаката срещу водното съоръжение на Muleshoe или други рускоезични хакери, използващи същата личност, поемат отговорност за хака.
Поредицата от инциденти не е засегнала питейната вода в градовете. Но ако се потвърди, че ГРУ или някой от неговите пълномощници е бил замесен, това би означавало ескалация в насочването към критична американска инфраструктура за руска група, често известна с това, че се фокусира върху Украйна.
В Muleshoe, град с около 5000 души, хакерите са проникнали в система за отдалечено влизане за индустриален софтуер, който позволява на операторите да взаимодействат с резервоар за вода, каза градският управител Рамон Санчес пред CNN. Резервоарът за вода преля около 30 до 45 минути, преди служителите на Muleshoe да изключат хакната индустриална машина и да преминат към ръчни операции, каза Санчес в имейл. Служителите на Muleshoe замениха хакната софтуерна система и предприеха други стъпки за защита на мрежата, каза Санчес.
„Водоснабженията се злоупотребяват от противници, които се възползват от ниско висящи плодове – уязвими услуги, достъпни директно от интернет“, каза Гюс Серино, експерт по киберсигурност във водния сектор, който е президент на фирмата за сигурност I&C Secure.
„Регламентите не изискват този ниско висящ плод да бъде разгледан“, каза Серино пред CNN. „Това показва доста ясна необходимост да се справят с основите.“
EPA през октомври беше принудена да отмени ключов регламент за киберсигурност за обществените водоснабдителни системи след съдебно оспорване от републиканските главни прокурори.
Правилото на EPA „може да въведе прости мерки и да предотврати скорошни атаки срещу водните системи“, каза Ан Нойбергер, заместник-съветник по националната сигурност за кибер и нововъзникващите технологии в Белия дом, в изявление за CNN във вторник. „Но ние оставаме непоколебими в усилията си да гарантираме, че водоснабдителните системи на американците са защитени срещу кибератаки, като призоваваме собствениците и операторите да заключат цифровите си врати.“
Администрацията на Байдън-Харис, добави Нойбергер, наскоро е посъветвала държавни служители относно създаването на планове за сигурност за защита на техните водни системи от хакове.
„Подозрителна дейност“ в близките градове
Хакването в Muleshoe предизвика безпокойство в региона. В Локни, на около 75 мили източно от Мулшоу, градските власти откриха „подозрителна дейност“ в градската SCADA система – вид промишлена компютърна мрежа, която помага за надзора на водните инсталации, каза Бъстър Полинг, градски управител на Локни, пред CNN.
А в близкия град Hale Center хакери също се опитаха неуспешно да проникнат в „защитната стена“ на града, което накара града да деактивира отдалечения достъп до своята SCADA система, каза градският управител Майк Сайперт пред CNN в имейл.
Нито Cypert, нито Poling идентифицираха хакерите, отговорни за опитите за кибератаки; Полинг каза само, че вярва, че те действат от чужда държава, но отказа да даде подробности.
Полинг вярва, че хакерите са се опитвали да получат достъп до водните кладенци на града, но според него градските власти са успели да уловят заплахата рано и да попречат на хакерите да окажат каквото и да е въздействие.
„Никога преди не съм изпитвал това, но... ние сме наясно, че тези заплахи съществуват“, каза Полинг пред CNN по телефона. ФБР разследва дейността, каза той.
ФБР отказа коментар. Си Ен Ен поиска коментар от руското посолство във Вашингтон относно хакерските инциденти.
„Поради продължаващото разследване EPA не е в състояние да коментира този конкретен инцидент“, каза говорителят на EPA Ник Конгер в изявление за CNN. „Въпреки това EPA се координира с щата Тексас, за да подкрепи, ако е необходимо.“
В доклада си, публикуван в сряда, Mandiant откри множество връзки между отдел за саботаж и шпиониране на ГРУ, известен като Sandworm, и онлайн инфраструктура, използвана от хакери, използващи личност, наречена „CyberArmyofRussia_Reborn“. Това включва канал в YouTube, управляван от хакерската персона, за която Mandiant смята, че е създаден от спонсорираната от ГРУ част.
Sandworm е най-известен с поредица от разрушителни кибератаки, които прекъснаха захранването в части от Украйна през 2015 г. и 2016 г. Групата унищожи украинската инфраструктура с кибератаки по време на продължаващата война.
Sandworm също използва онлайн персони, за да усили и преувеличи въздействието на техните хакове, според експертите на Mandiant.
На 18 януари, деня, в който Санчес, градският управител на Muleshoe, каза на CNN, че хакерите са получили достъп до индустриалната компютърна мрежа на града, групата CyberArmyofRussia_Reborn публикува видео в своя канал в социалните медии Telegram, което претендира да покаже манипулирането на водните клапани на Muleshoe.
