我的位置 态势感知  >  漏洞态势

澳大利亚供水设施被植入后门长达9个月,直到年审才发现

来源:互联网安全内参 时间:2021-11-15 阅读次数:
  • 澳大利亚地方审计署的年度财务审计报告,国有供水商SunWater遭到网络入侵长达9个月,自己却始终毫无察觉;
  • 被入侵服务器存放了客户数据,但攻击者似乎无意查看,只是植入了一个视频刷量的恶意软件;
  • 年审报告称,再次发现多个供水商信息系统存在控制缺陷,网络攻击仍然构成重大风险。
黑客在存放昆士兰州供水运营商客户数据的服务器上潜伏达9个月,再次凸显出关键基础设施存在严重的网络安全隐患。
作为澳大利亚国有供水运营商,SunWater公司负责运营19处主要水坝、80个泵站及总长1600英里的输水管道。
据澳大利亚昆士兰州审计署日前发布的年度财务审计报告,SunWater公司遭遇入侵长达9个月,自己却始终毫无察觉。
虽然报告中没有直接点名,但澳大利亚广播公司就此事向当局发出质询,确认受害者正是SunWater。
该事件发生于2020年8月至2021年5月之间,攻击者设法侵入了用于存储供水商客户信息的Web服务器。
黑客似乎对窃取敏感数据并不感兴趣,只是植入了自定义的恶意软件,以增加某个在线视频平台的访问量。
审计报告还提到,没有证据表明攻击者窃取过任何客户或财务信息,相关漏洞目前已得到修复。
报告显示,攻击者入侵的是较为陈旧、存在安全缺陷的系统版本,现代且更加安全的Web服务器则没有受到影响。
报告还指出该供水商在账户安全方面实践不足的问题,例如没能做到仅为用户分配完成工作所必需的最低访问权限。
事实上,SunWater公司中有多个账户能够访问多个系统,大大增加了单点入侵的风险。

 这是个普遍性问题

审计人员检查了澳大利亚六个水务部门的内部控制系统,发现其中三个存在缺陷(但未明确公布是哪三个)。
报告主要强调了几个普遍问题,例如缺乏保护金融交易免受BEC欺诈影响的保障措施、IT系统中存在大量漏洞等。
总之,审计人员发现各大公共实体已经根据去年的建议采取了积极调整,但仍需要:
  • 实施安全威胁检测与报告系统
  • 在面向公众的一切外部系统上启用多因素身份验证
  • 设定最少八个字符的密码长度
  • 组织安全意识培训
  • 实施关键安全漏洞识别流程
这份审计报告还提到,“我们再次发现涉及信息系统的多个控制缺陷。面对COVID-19疫情影响给实体工作环境带来的持续变化,网络攻击仍然构成重大风险。
虽然财务损失确实可怕,例如2017年针对某英国供水运营商的袭击事件曾造成64.5万美元损失,但真正令人胆寒的在于网络攻击给公共安全带来的威胁。
2021年2月,某黑客获得了佛罗里达州奥兹马水处理系统的访问权限,并试图增加该公共供水网络中的氢氧化钠浓度。
此事给美国政府敲响了警钟,敦促他们通过有条不紊的升级措施保护这些存在感不强、但却关乎民众日常生活的关键基础设施。
 
 

原文来源:互联网安全内参

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

8条评论