O agente de ameaças ligado ao Irã, Handala, afirmou nesta semana ter invadido a California Water Service (Cal Water) e publicou 5 gigabytes de dados supostamente roubados da companhia de água americana.
Em uma postagem em seu blog, o grupo de hackers disse que a intrusão foi uma retaliação por ações recentes dos Estados Unidos no Irã e afirmou que tinha a capacidade de interromper o acesso à água, mas optou por não fazê-lo.
Embora o nível de acesso obtido pelo Handala não tenha sido confirmado, a empresa de inteligência de ameaças Dataminr afirma que o agente de ameaças provavelmente invadiu a instância RTKBase da Cal Water, uma plataforma de estação base GNSS (Sistema Global de Navegação por Satélite), e depois se moveu lateralmente para um sistema de cobrança.
A Cal Water é uma das maiores companhias de água de propriedade de investidores nos Estados Unidos, com aproximadamente dois milhões de clientes em 100 comunidades na Califórnia.
A empresa de cibersegurança afirma que o Distrito de Chico da Cal Water foi confirmado como vítima do ataque. Dados vazados pelo Handala mostram que o grupo provavelmente acessou um banco de dados de cobrança de clientes e a aplicação interna RTKBase da Cal Water.
"A instância RTKBase estava em operação por aproximadamente 783 horas contínuas no momento do acesso, com dados de correção de GPS transmitidos pelos sete pontos de montagem de distrito identificados", observa a Dataminr.
"O sistema de cobrança e a plataforma RTKBase representam infraestruturas distintas. A rede RTKBase é avaliada como um provável vetor de acesso inicial ou ponto de pivô lateral que permitiu ao agente alcançar o ambiente de cobrança", afirma a empresa.
O vazamento do Handala parece ser uma exportação em massa de banco de dados contendo informações pessoalmente identificáveis (PII, na sigla em inglês), como nomes, endereços, números de telefone, números de conta e históricos de pagamento.
Também inclui credenciais administrativas para a plataforma RTKBase e uma senha de fonte NTRIP (Networked Transport of RTCM via Internet Protocol) em nível de ponto de montagem. O agente de ameaças também realizou enumeração de endereços IP associados à rede NTRIP da Cal Water em sete distritos.
"Embora a interrupção de TO/SCI (Tecnologia Operacional/Sistemas de Controle Industrial) não esteja confirmada neste incidente, o conjunto de ferramentas implantado pelo Handala inclui wipers personalizados (win.handala, Handala Wiper, Hamsa Wiper) e capacidades de sobrescrita de MBR (Master Boot Record). O grupo demonstrou disposição para escalar do roubo de dados para operações destrutivas dentro do mesmo ciclo de campanha, conforme evidenciado pelo incidente Stryker", observa a Dataminr.
Todas as credenciais expostas no vazamento devem ser consideradas comprometidas e imediatamente rotacionadas; a instância RTKBase deve ser colocada offline e auditada; e a segmentação de rede e os logs de acesso ao sistema de cobrança devem ser revisados, afirma a empresa.
A Cal Water ainda não reconheceu publicamente a intrusão. A SecurityWeek enviou um e-mail à empresa solicitando um posicionamento e atualizará este artigo caso ela responda.
Ligado pelos Estados Unidos ao Ministério da Inteligência e Segurança do Irã (MOIS), o Handala está ativo desde pelo menos 2008 e também é rastreado como Handala Hack, Banished Kitten, Dune, Hanzalah Hacking Group, Homeland Justice, Red Sandstorm, Storm-0842 e Void Manticore.
O grupo é conhecido por se envolver em uma ampla gama de atividades, desde hacktivismo até ataques destrutivos, com foco principal em exfiltração de dados, implantação de malware wiper e operações psicológicas.
"O padrão operacional do Handala frequentemente envolve uma reivindicação inicial seguida de ação escalonada. Equipes de segurança devem tratar a divulgação atual como um possível precursor de uma ação destrutiva subsequente e se posicionar de acordo", observa a Dataminr.
