2026-06-12 00:00
← VoltarO grupo de hackers Handala, ligado ao Irã, alegou ter comprometido o Serviço de Água da Califórnia (Cal Water), afirmando que tem a capacidade de interromper o fluxo de abastecimento de água em certas cidades dos Estados Unidos. No entanto, os especialistas estão questionando a afirmação. Nada nas evidências publicadas apoia a afirmação de Handala de que pode desligar o abastecimento de água nas cidades dos EUA. A Dataminr avalia que o grupo chegou a um servidor de correção de GPS e a um banco de dados de cobrança de clientes. Nenhum dos sistemas controla o tratamento ou distribuição de água, e a Dataminr afirma que a interrupção da OT ou do ICS não foi confirmada neste incidente. Como a BeyondTrust observou em seu comunicado sobre ameaças Epic Fury, Handala tem um histórico de exagerar suas capacidades. A ostentação de escolher poupar o abastecimento de água é interpretada como a própria operação psicológica. O comunicado apresentou o manual de resposta para operadores de infraestrutura crítica: validar patches em sistemas voltados para a Internet, impor MFA resistente a phishing em contas privilegiadas, restringir a exposição de interfaces administrativas na Internet e monitorar transferências de saída anômalas.
Nosso comunicado descreveu o ecossistema de proxy cibernético do Irã como operando em “ritmo de guerra”. Mais de três meses depois, este incidente mostra que o ritmo está sendo mantido. Agnidipta Sarkar, evangelista-chefe da ColorTokens: As operações da Handala são...
O grupo de hackers Handala, ligado ao Irã, alegou ter comprometido o Serviço de Água da Califórnia (Cal Water), afirmando que tem a capacidade de interromper o fluxo de abastecimento de água em certas cidades dos Estados Unidos. No entanto, os especialistas estão questionando a afirmação. Nada nas evidências publicadas apoia a afirmação de Handala de que pode desligar o abastecimento de água nas cidades dos EUA. A Dataminr avalia que o grupo chegou a um servidor de correção de GPS e a um banco de dados de cobrança de clientes. Nenhum dos sistemas controla o tratamento ou distribuição de água, e a Dataminr afirma que a interrupção da OT ou do ICS não foi confirmada neste incidente. Como a BeyondTrust observou em seu comunicado sobre ameaças Epic Fury, Handala tem um histórico de exagerar suas capacidades. A ostentação de escolher poupar o abastecimento de água é interpretada como a própria operação psicológica. O comunicado apresentou o manual de resposta para operadores de infraestrutura crítica: validar patches em sistemas voltados para a Internet, impor MFA resistente a phishing em contas privilegiadas, restringir a exposição de interfaces administrativas na Internet e monitorar transferências de saída anômalas.
Nosso comunicado descreveu o ecossistema de proxy cibernético do Irã como operando em “ritmo de guerra”. Mais de três meses depois, este incidente mostra que o ritmo está sendo mantido. Agnidipta Sarkar, evangelista-chefe da ColorTokens: As operações da Handala são projetadas para gerar medo, incerteza e atenção da mídia. Se analisarmos os ataques recentes de Handala e deixarmos de lado a retórica política, eles parecem ter um talento para perturbações operacionais, destruição de dados e publicação pública dos resultados. Pelo que se sabe até agora, parece que Handala possui provavelmente a capacidade de comprometer ambientes do sector da água mal protegidos, mas não encontro qualquer indicação de que tenham adquirido capacidades para perturbar sistemas SCADA, PLCs, controlos de bombas, sistemas de tratamento ou outros sistemas de TO, mesmo que possam ter acesso a TI. No entanto, considerando que os intervenientes afiliados ao Irão atingiram com sucesso os sistemas de TO no sector da água, poderiam adquirir esta capacidade. Na minha opinião, a alegação deve ser tratada como um aviso credível de intenção e capacidade potencial, mas não como prova de que o grupo pode actualmente desligar o abastecimento de água nas cidades americanas. Se eu tivesse que olhar para isso de uma perspectiva de prontidão para violações, eu conduziria imediatamente uma avaliação de impacto de prontidão para violações para meus sistemas de TO para determinar a acessibilidade aos meus sistemas de controle e impor controles rígidos de microssegmentação para negar movimento lateral no caso de tais ataques.
A vantagem de usar uma plataforma de microssegmentação abrangente é que ela pode usar os mesmos controles de zoneamento nos sistemas de TI e fornecer um painel único de controle para a liderança que gerencia os sistemas hídricos, para inspirar confiança nas partes interessadas. John Gallagher, vice-presidente da Viakoo: Handala não interrompeu ou cortou o abastecimento de água a nenhuma cidade dos EUA. O ator da ameaça afirmou explicitamente em seu blog que, embora supostamente possuíssem a capacidade de interromper o acesso à água, “optaram por não fazê-lo”. Além disso, a análise de inteligência de ameaças indica que a violação estava contida em uma plataforma interna do sistema global de navegação por satélite (GNSS) chamada RTKBase e em um banco de dados de cobrança de clientes; A interrupção real da tecnologia operacional (TO) ou do sistema de controle industrial (ICS) não foi confirmada. Isso deve ser tratado como um tiro de advertência – e altamente perigoso. Embora Handala tenha enquadrado a falta de perturbação como uma escolha consciente, o seu comportamento passado prova que são altamente voláteis. Relatórios de inteligência observam que o kit de ferramentas padrão do Handala inclui limpadores de dados personalizados e recursos de substituição de Master Boot Record (MBR). O grupo tem um histórico documentado de escalada rápida de roubo de dados para operações destrutivas em grande escala exatamente no mesmo ciclo de campanha.
Handala usou esse incidente para exfiltrar 5 gigabytes de dados (incluindo nomes de clientes, endereços e históricos de pagamentos) e coletar credenciais administrativas, mapeando infraestrutura que poderia ser armada. editado mais tarde. Pode haver paralelos com o encerramento do Colonial Pipeline, onde os agentes da ameaça conseguiram aproveitar um servidor de cobrança para impactar as operações do pipeline. Foi o inverso (passar de sistemas operacionais para um servidor de cobrança), o que demonstra que os pontos de articulação entre os dois domínios estão sendo explorados. As organizações não devem atrasar a revisão das principais proteções, especialmente na eliminação de pontos de articulação entre OT/IoT e redes corporativas. As organizações devem impor uma segmentação de rede rigorosa e de confiança zero. As aplicações IoT, as plataformas de telemetria e a infraestrutura inteligente devem residir em redes isoladas e completamente separadas dos sistemas empresariais, como faturação, e-mail ou bases de dados corporativas. Um comprometimento de ativos no lado operacional nunca deve conceder acesso a dados empresariais.
O despejo de dados incluía explicitamente credenciais administrativas para a plataforma RTKBase e uma senha de origem NTRIP no nível do ponto de montagem. Todas as organizações que executam infraestruturas semelhantes devem considerar quaisquer credenciais compartilhadas ou padrão totalmente comprometidas. Implemente a rotação imediata e automatizada de todas as senhas administrativas em todo o ambiente. Nunca reutilize credenciais entre software operacional e sistemas de TI. Soluções automatizadas de gerenciamento de senhas para TO são necessárias devido à escala e ao tempo necessários. Os invasores conseguiram enumerar endereços IP e atingir uma instância ativa do RTKBase que estava continuamente online por 783 horas. As organizações devem realizar uma auditoria externa imediata da superfície de ataque para identificar quaisquer aplicações OT, GNSS ou IoT industriais voltadas para a Internet. Muitas organizações de TO perdem o controle dos aplicativos em seu ambiente, proporcionando uma abertura.
Estas plataformas nunca devem ser expostas diretamente à Internet pública. O acesso deve ser estritamente restrito por meio de VPNs seguras com autenticação multifator (MFA) ou gateways de acesso à rede de confiança zero (ZTNA). Shane Barney, diretor de segurança da informação da Keeper Security: As evidências técnicas mostram que uma rede de correção de GPS e um sistema de cobrança de clientes foram comprometidos, expondo dados reais de clientes em vários distritos. Não há acesso confirmado aos controlos de tratamento de água ou à infraestrutura de segurança operacional, e essa distinção é importante para a forma como as equipas de segurança e o público avaliam o que realmente aconteceu aqui. Os actores ligados ao Irão têm sido abertos sobre como visar infra-estruturas de sustentação da vida para impacto psicológico, e os avisos federais assinalaram os serviços de abastecimento de água dos EUA como um alvo prioritário. Acessar vários sistemas, publicar os dados e fazer reivindicações escalonadas se enquadra nesse manual. A intenção merece muita atenção, independentemente de onde terminou o acesso. A lição para os proprietários e operadores de infra-estruturas críticas está no movimento lateral que ocorreu.
Um sistema interno tornou-se uma ponte para os dados do cliente porque os limites da rede entre eles não foram impostos. Esse não é um problema exclusivo deste incidente. Os sistemas operacionais em todo o setor da água têm sido ligados a ambientes de TI ao longo do tempo, sem os controlos correspondentes. Higiene de credenciais, segmentação de rede e controles de acesso consistentes são fundamentais. Para as organizações que ainda não fizeram delas uma prioridade, este é um sinal claro para começar.