Атака на насосные станции Аликвиппы: SecurityScorecard сообщают новые подробности

Команда с высокой долей уверенности установила IP веб-сайтов, использованных для ноябрьской кибератаки на Муниципальное управление водоснабжением города Аликвиппы (MWAA) в штате Пенсильвания.

За атаку уже взяла на себя ответственность группировка CyberAv3ngers, якобы действующая в интересах Ирана. Хакеры оставили в своем Telegram-канале своеобразное «цифровое послание». Выводы SecurityScorecard подтверждают, что это была не пустая угроза, а реальное нападение.

Исследование выделило 10 адресов, активность которых в преддверии атаки, по мнению SecurityScorecard, могла быть расценена как «тревожный звонок». Четыре из этих IP генерировали почти две трети (180 из 303) потоков данных, отправленных на серверы водного управления за месяц до инцидента.

Дальнейший анализ показал, что четыре подозрительных адреса обменивались информацией с 368 другими протоколами, зарегистрированными в Иране.

«Учитывая, что ранее была установлена связь хакерской группы CyberAv3ngers с Ираном, специалисты SecurityScorecard провели анализ трафика для этих четырех IP, чтобы найти дополнительные доказательства их происхождения», — поясняют специалисты в своем отчете.

В SecurityScorecard добавили: «Вряд ли все 368 иранских IP-адресов были задействованы в злонамеренной деятельности преступников (есть и легитимные случаи использования VPN). Поэтому исследователи сосредоточились на тех идентификаторах, которые с наибольшей вероятностью были причастны к активности, нацеленной на водное управление».

Таким образом список сузился до 6 адресов, которые вкупе с четырьмя основными и составили упомянутую десятку.

Аналитики полагают, что в будущем тщательный мониторинг IP-трафика поможет предотвратить похожие инциденты. По их мнению, отслеживая связи с перечисленными идентификаторами, организации смогут себя обезопасить.

Команда SecurityScorecard также отметила уязвимость местных органов власти и коммунальных служб, которые зачастую не имеют надежных средств защиты от изощрённых кибератак. Это делает их особенно заманчивой целью для хакеров, действующих в интересах государств.