سازش با گیاهان آبزی در فلوریدا ساعاتی پس از بازدید کارگر از یک سایت مخرب صورت گرفت


تصفیه خانه آب در یک شهر کوچک.

شرکت امنیتی Dragos روز سه شنبه گفت که یک کارمند از شهر اولدزمار ، فلوریدا ، از یک وب سایت مخرب با هدف سیستم های آبرسانی بازدید کرد ، چند ساعت قبل از اینکه کسی وارد سیستم رایانه ای تصفیه خانه این شهر شود و سعی کند آب آشامیدنی را مسموم کند. شرکت امنیتی گفت هیچ نقشی در این نفوذ نداشته است ، اما همچنان نگران کننده است.

کنت باکمن ، محقق Dragos ، در یک پست وبلاگ نوشت ، وب سایت ، متعلق به یک ارائه دهنده خدمات آب فلوریدا ، در اواخر ماه دسامبر توسط هکرهایی که پس از آن میزبان کدهای مخربی بودند که به نظر می رسد برنامه های اصلی را هدف قرار می دهد ، به خطر افتاده است. در دوره 58 روزه که سایت آلوده شده است ، بیش از 1000 رایانه کاربر نهایی از سایت بازدید کرده اند.

یکی از این بازدیدها 5 فوریه ساعت 9:49 صبح فلوریدا از یک شبکه رایانه ای متعلق به شهر اولدزمار بود. عصر همان روز ، یک بازیگر ناشناخته دسترسی غیرمجاز به رابط رایانه ای را که برای تنظیم مواد شیمیایی تصفیه کننده آب آشامیدنی برای حدود 15000 نفر از ساکنان شهر کوچک در 16 مایلی شمال غربی تامپا استفاده می کرد ، بدست آورد.

متجاوز سطح یون را به 11100 قطعه در میلیون تغییر داد ، که از میزان طبیعی 100 ppm یک افزایش مهلک است. این تغییر به سرعت کشف و معکوس شد.

حملات موسوم به سوراخ در جرایم هک رایانه ای که صنایع خاص یا گروههایی از کاربران را هدف قرار می دهد ، معمول است. همانطور که شکارچیان وحشی در کمین حوضچه های مورد استفاده طعمه های خود قرار دارند ، هکرها نیز معمولاً یک یا چند وب سایت بازدید شده توسط گروه هدف را به خطر می اندازند و کد مخربی را متناسب با کسانی که از آنها بازدید می کنند ، ایجاد می کنند. دراگوس گفت به نظر می رسد سایتی که وی پیدا کرده است تأمین آب خصوصاً سایتهای فلوریدا است.

بكمن نوشت: “كساني كه با اين كد مخرب ارتباط برقرار كردند ، مشتمل بر رايانه هاي مشتريان مشتري شركت هاي آب ، م agenciesسسات دولتي ايالتي و محلي ، شركت هاي خصوصي مختلف مرتبط با صنعت آب و همچنين ترافيك عادي به ربات هاي اينترنتي و وب سايت ها بودند.” “بیش از 1000 کامپیوتر کاربر نهایی توسط کد مخرب در آن زمان نمایه شده اند ، که عمدتا از ایالات متحده و فلوریدا است.”

در اینجا نقشه ای نشان داده شده است که محل قرارگیری این رایانه ها را نشان می دهد:

موقعیت جغرافیایی رایانه های مشتری با اثر انگشت در ایالات متحده آمریکا.
بزرگنمایی / موقعیت جغرافیایی رایانه های مشتری با اثر انگشت در ایالات متحده آمریکا.

دراگوس

اطلاعات دقیق جمع آوری شده

این کد مخرب بیش از 100 مورد از اطلاعات دقیق مربوط به بازدید کنندگان از جمله سیستم عامل و نوع پردازنده آنها را جمع آوری کرده است. مرورگر و زبانهای پشتیبانی شده نقاط لمسی ، روش های ورودی و اینکه آیا دوربین ، شتاب سنج یا میکروفون در دسترس هستند. و منطقه زمانی ، موقعیت جغرافیایی ، کدک های ویدئویی ، اندازه صفحه و افزونه های مرورگر.

این کد مخرب همچنین بازدیدکنندگان را به دو سایت جداگانه هدایت می کند که هش های رمزنگاری را جمع آوری می کنند که به طور منحصر به فرد هر دستگاه متصل را شناسایی می کند و اثر انگشت را در یک پایگاه داده میزبانی شده در bdatac.herokuapp بارگذاری می کند[.]کام اسکریپت اثر انگشت از کدهای چهار پروژه مختلف کد استفاده می کند: core-js ، UAParser ، regeneratorRuntime و یک اسکریپت جمع آوری داده که فقط در دو وب سایت دیگر دیده می شود ، هر دو به یک شرکت ثبت دامنه ، هاست و توسعه وب وابسته هستند.

وب سایت ارائه دهنده خدمات آب فلوریدا با یک لیست مرورگر منحصر به فرد و اسکنر اثر انگشت به خطر افتاده است.
بزرگنمایی / وب سایت ارائه دهنده خدمات آب فلوریدا با یک لیست مرورگر منحصر به فرد و اسکریپت اثر انگشت ، به خطر افتاده است.

دراگوس

Dragos گفت که او فقط یک سایت دیگر پیدا کرده است که کد پیچیده و پیچیده ای را برای بازدیدکنندگان ارائه می دهد. سایت ، DarkTeam[.]shop ، ادعا می کند که یک بازار زیرزمینی است که هزاران مشتری کارت هدیه و صورتحساب را تأمین می کند. به گفته محققان این شرکت ، بخشی از این سایت همچنین می تواند محلی برای ثبت سیستم های آلوده به نسخه اخیر بدافزار botnet معروف به Tofsee باشد.

Dragos همچنین شواهدی را نشان داد که همان بازیگر سایت DarkTeam و سایت شرکت ساخت و ساز برای زیرساخت های آب را در همان روز ، 20 دسامبر سال 2020 هک کرده است. Dragos 12735 آدرس IP را مظنون به آلوده شدن توسط سیستم های Tofsee مشاهده کرده است ، که به یک غیر صفحه عمومی ، که به معنی احراز هویت است. سپس مرورگر یک رشته عامل کاربر را با یک مصنوع خاص “Tesseract / 1.0” ارائه داد.

مصنوعی منحصر به فرد در زیرشاخه عامل کاربر
بزرگنمایی / مصنوعی منحصر به فرد در زیرشاخه عامل کاربر “Tesseract / 1.0” مرتبط با ثبت نام مرورگر در یک صفحه محدود در سایت darkteam.store.

دراگوس

این سوراخ معمولی شما نیست

“با کمک دادگاه اطلاعاتی که تاکنون جمع آوری کرده ایم ، بهترین ارزیابی Dragos این است که یک بازیگر در سایت شرکت ساخت و ساز برای ایجاد زیرساخت های آب سوراخی ایجاد کرده است تا داده های قانونی در مورد مرورگرها را جمع آوری کند تا توانایی بدافزار botnet. نرم افزار تظاهر به فعالیت قانونی مرورگر وب ، – نوشت بکمن. “استفاده از botnet حداقل ده مورد مختلف رمزگذاری یا هش رمزگذاری شده JA3 که برخی از آنها از مرورگرهای قانونی تقلید می کنند ، در مقایسه با هش مصاحبه منتشر شده از تکرار قبلی ربات Tofsee ، شاهدی بر بهبود botnet است.”

Dragos ، که به ایمن سازی سیستم های کنترل صنعتی که توسط دولت ها و شرکت های خصوصی استفاده می شود ، کمک می کند ، گفت که در ابتدا نگران بود که سایت به دلیل موارد زیر تهدید قابل توجهی ایجاد کند:

  • روی فلوریدا تمرکز کنید
  • همبستگی زمانی با نفوذ اولدزمار
  • جاوا اسکریپت بسیار رمزگذاری شده و پیشرفته
  • تعداد کمی کد در اینترنت وجود دارد
  • مشابه حملات سوراخ از سوی دیگر گروه های فعالیت هدفمند ICS ، مانند DYMALLOY ، ALLANITE و RASPITE.

از این گذشته ، Dragos اعتقاد ندارد که سایت آبیاری بدافزارهایی را ارائه می دهد که موجب سوivers استفاده می شود یا سعی در دسترسی غیرمجاز به رایانه های بازدید کننده دارد. بكمن در ادامه گفت كه اين كشف هنوز بايد زنگ خطري باشد.

وی نوشت: “این یک سوراخ معمولی نیست.” “ما به طور متوسط ​​اطمینان داریم که هیچ سازمانی را مستقیماً به خطر نیاندازد. با این حال ، این امر خطری برای صنعت آب به وجود می آورد و بر اهمیت کنترل دسترسی به وب سایت های غیر قابل اعتماد ، به ویژه برای فناوری های عملیاتی (OT) و سیستم کنترل صنعتی (ICS) تأکید می کند. “


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>