イランとの関係が指摘される脅威アクター「Handala」が今週、カリフォルニア・ウォーター・サービス(Cal Water)へのハッキングを主張し、同米国水道事業者から窃取したとされる5ギガバイトのデータを公開しました。
自身のブログへの投稿でこのハッキンググループは、今回の侵入はイランに対する米国の最近の行動への報復であると述べ、水道サービスを妨害する能力はあったが、あえて実行しなかったと主張しています。
Handalaのアクセスレベルはまだ確認されていませんが、脅威インテリジェンス企業のDataminrは、同脅威アクターがCal WaterのGNSS基地局プラットフォームであるRTKBaseインスタンスに侵入した後、課金システムへ横展開(ラテラルムーブメント)した可能性が高いと述べています。
Cal Waterは米国最大級の民間水道事業者の一つで、カリフォルニア州内100のコミュニティにわたり約200万人の顧客を抱えています。
同サイバーセキュリティ企業によると、Cal WaterのチコDistrict(Chico District)が攻撃の被害を受けたことが確認されています。Handalaが漏えいさせたデータは、顧客課金データベースおよびCal Waterの内部RTKBaseアプリケーションへのアクセスが行われた可能性が高いことを示しています。
「RTKBaseインスタンスはアクセス時点で約783時間連続稼働しており、識別された7つのディストリクト・マウントポイントすべてにGPS補正データがストリーミングされていました」とDataminrは指摘しています。
「課金システムとRTKBaseプラットフォームは別個のインフラを構成しています。RTKBaseネットワークは、攻撃者が課金環境に到達することを可能にした初期侵入経路またはラテラルピボットポイントである可能性が高いと評価されています」と同社は述べています。
Handalaが公開したデータは、氏名、住所、電話番号、アカウント番号、支払い履歴などの個人識別情報(PII)を含む、データベースの一括エクスポートと見られます。
また、RTKBaseプラットフォームの管理者認証情報およびマウントポイントレベルのNTRIPソースパスワードも含まれています。さらに脅威アクターは、7つのディストリクトにわたるCal WaterのNTRIPネットワークに関連するIPアドレスの列挙も実行しています。
「今回のインシデントでOT/ICSの妨害は確認されていませんが、Handalaが使用するツールキットにはカスタムワイパー(win.handala、Handala Wiper、Hamsa Wiper)およびMBR上書き機能が含まれています。同グループは、Strykerインシデントで実証されたように、同一キャンペーンサイクル内でデータ窃取から破壊的な攻撃へとエスカレートする意思を示しています」とDataminrは指摘しています。
漏えいしたすべての認証情報は侵害済みと見なして直ちにローテーションを実施すること、RTKBaseインスタンスをオフラインにして監査を行うこと、そして課金システムへのネットワークセグメンテーションとアクセスログを見直すことを同社は推奨しています。
Cal Waterはいまだ侵入を公式に認めていません。SecurityWeekは声明を求めて同社にメールで問い合わせており、返答があり次第この記事を更新する予定です。
米国によってイランの情報安全省(MOIS)との関連が指摘されているHandalaは、少なくとも2008年から活動しており、Handala Hack、Banished Kitten、Dune、Hanzalah Hacking Group、Homeland Justice、Red Sandstorm、Storm-0842、Void Manticoreなどの名称でも追跡されています。
同グループはハクティビズムから破壊的攻撃まで幅広い活動で知られており、主にデータ窃取、ワイパーマルウェアの展開、心理的作戦(サイコロジカルオペレーション)に重点を置いています。
「Handalaの作戦パターンは、最初の主張の後にエスカレートした行動が続くことが多い傾向にあります。セキュリティチームは今回の開示を破壊的な後続攻撃の前兆として捉え、それに応じた態勢を整えるべきです」とDataminrは警告しています。
翻訳元: https://www.securityweek.com/iranian-cyber-group-handala-claims-cal-water-hack/
