Deux installations municipales d’approvisionnement en eau déclarent être tombées aux mains de pirates informatiques lors de violations distinctes


En quelques jours, deux installations municipales de distribution d’eau qui desservent plus de 2 millions d’habitants dans certaines parties de la Pennsylvanie et du Texas ont signalé des failles de sécurité réseau qui ont paralysé certaines parties de leurs activités ou processus opérationnels.

En réponse à l’une de ces attaques, la Municipal Water Authority d’Aliquippa, dans l’ouest de la Pennsylvanie, a temporairement fermé une pompe fournissant de l’eau potable depuis l’usine de traitement de l’installation vers les townships de Raccoon et Potter, selon un rapport du Beaver Countian. Une photo fournie par l’Autorité de l’Eau aux médias montrait le panneau avant d’un contrôleur logique programmable – un boîtier de la taille d’un grille-pain, souvent abrégé en PLC, utilisé pour automatiser les processus physiques dans les environnements industriels – qui affichait un message anti-israélien. L’automate portait le logo du fabricant Unitronics. Un panneau au-dessus indiquait « API principal ».

Les installations du WWS dans la ligne de mire

La Cybersecurity and Infrastructure Security Administration a publié mardi un avis mettant en garde contre des attaques récentes compromettant les automates Unitronics utilisés dans les systèmes d’eau et d’eaux usées, souvent abrégés en WWS. Bien que l’avis n’identifie aucune installation par son nom, le récit d’un piratage était presque identique à celui qui s’est produit à l’intérieur de l’installation d’Aliquippa.

« Les acteurs de la cybermenace ciblent les automates associés aux installations de WWS, y compris un automate Unitronics identifié, dans une installation de distribution d’eau aux États-Unis », ont écrit les responsables de la CISA. « En réponse, les services des eaux de la municipalité concernée ont immédiatement mis le système hors ligne et sont passés aux opérations manuelles. Il n’y a aucun risque connu pour l’eau potable ou l’approvisionnement en eau de la municipalité. »

Les responsables de l’Autorité de l’eau ont déclaré aux journalistes que le PLC piraté régulait la pression dans les régions élevées et qu’il était hébergé dans ce que l’on appelle une station de surpression qui desservait Raccoon et Potter. Dès que l’automate a été piraté, la station de surpression a envoyé une alarme aux opérateurs qui ont ensuite mis le système hors ligne et ont pris le contrôle manuel. Ils ont déclaré qu’il n’y avait jamais eu de menace pour la disponibilité de l’eau pour les 6 615 clients desservis par l’installation.

Un deuxième piratage touchant le district municipal des eaux du nord du Texas a été révélé lundi après qu’un groupe de ransomware ait été suivi alors que DAIXIN ajoutait le district, en abrégé NTMWD, à son site de fuite. Le message indique que le groupe a volé des données sensibles contenues dans 33 844 fichiers. Un fichier texte accompagnant le message montrait ce qui semblait être une vaste arborescence de répertoires de fichiers du réseau appartenant au NTMWD.

Une capture d'écran partielle d'un fichier texte laissé sur le site DAIXIN répertoriant certains des fichiers volés.

« Le North Texas Municipal Water District (NTMWD) a récemment détecté un incident de cybersécurité affectant notre réseau informatique professionnel », a écrit un responsable dans un e-mail. « La majeure partie de notre réseau commercial a été restaurée. Nos principaux services d’eau, d’eaux usées et de déchets solides destinés à nos villes membres et à nos clients n’ont pas été affectés par cet incident, et nous continuons à fournir ces services comme d’habitude. Le responsable a ajouté que les systèmes téléphoniques restaient hors ligne. Le district a engagé des enquêteurs légistes tiers pour enquêter sur l’étendue de la violation.

Bien que l’intrusion du réseau n’ait été révélée que lundi, le NTMWD a d’abord informé les résidents d’une panne de téléphone le 12 novembre. Le responsable n’a pas précisé quand la brèche s’est produite. NTMWD dessert 2,2 millions de personnes sur 2 200 miles carrés.

DAIXIN a été repéré pour la première fois en juin 2022. Le groupe, qui a été activement suivi à la fois par le CISA et le Water Information Sharing and Analysis Center, a ciblé avec succès un large éventail d’industries, notamment la santé, l’aérospatiale, l’automobile et les aliments emballés.

On sait moins de choses sur Cyber ​​Aveng3rs, le groupe qui revendique la responsabilité du piratage de l’Autorité municipale des eaux d’Aliquippa. Il peut s’agir du même groupe connu sous le nom de Cyber ​​Av3ngers ou connecté à Cyber ​​Av3ngers, qui a des liens avec un groupe que Microsoft a lié au groupe Moses soutenu par le gouvernement iranien.

Il est tentant de penser que les piratages de deux installations d’approvisionnement en eau différentes révélés en quelques jours sont le signe d’une escalade. Il est plus facile de garder à l’esprit que les installations d’approvisionnement en eau sont notoirement sous-financées et emploient du personnel informatique qui reçoit peu de formation, de ressources et est sous-payé. Quoi qu’il en soit, ces attaques devraient servir de signal d’alarme aux dirigeants politiques de tous les niveaux de gouvernement : les infrastructures critiques sont vulnérables au piratage et le resteront jusqu’à ce qu’ils réalisent les investissements nécessaires.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*