UN HACKER INTENTA ENVENENAR EL AGUA DE TODA UNA CIUDAD CON SOSA CÁUSTICA.
Este era el titular de la noticia que publicaba el diario ElMundo.
El 12/01/2021 publicaba aquí en MyTips la entrada ¿Está justificada la preocupación por la ciberseguridad en la Industria?. Pues bien, menos de un mes después (el 05/02/2021) parece que la realidad responde a esta pregunta retórica y se detectó el incidente de ciberseguridad que recoge la noticia. La víctima, una planta de tratamiento de agua en Oldsmar, Florida (EEUU).
Lo que se sabe sobre el ciberincidente
Según parece, un operador de la instalación detectó que alguien había modificado el ajuste de la dosificación de sosa cáustica a un valor 100 veces superior al normal, pudiendo detener el proceso inmediatamente aunque el agua contaminada no habría llegado hasta la población hasta pasadas 24 ó 36 horas y en este tiempo este exceso de sosa habría sido detectado.
La policía ha confirmado que en 5 horas se habían producido dos accesos a las estaciones de operación desde las que se controla el funcionamiento de la planta. Fue en su segunda “visita” cuando modificó la dosificación de sosa.
Inicialmente los operadores no le dieron importancia ya que es habitual que el supervisor se conecte en remoto para hacer pequeñas correcciones.
El FBI está investigando el incidente por si se tratara de un caso de terrorismo -la Superbowl de 2021 se jugó en Florida el 08/02- aunque no se descarta la posibilidad de que se trate de un empleado descontento.
Lo que está bastante claro es que el ciberataque no fue demasiado complejo, y es que las medidas de ciberseguridad no eran las más adecuadas:
- El atacante accedió al sistema de control mediante el software TeamViewer que permite la conexión remota con otros equipos. El software estaba instalado en las estaciones de trabajo que permiten la monitorización y actuación sobre la planta.
- Todos los ordenadores conectados al sistema SCADA tenían como sistema operativo la versión de 32 bits de Windows 7, una de las versiones más antiguas de Windows que todavía recibe actualizaciones de ciberseguridad.
- La contraseña para el acceso remoto era la misma para todos las estaciones de operación y parece que estaban conectadas directamente a Internet, sin ningún tipo de firewall.
- Además, las contraseñas empleadas en la planta parece que ya aparecían en un fichero de contraseñas robadas que circulaba por Internet.

Actualización 21/02/2021
Comparto aquí la nota del 11/02/2021 publicada por la Cybersecurity & Infraestructure Security Agency de los EEUU sobre este incidente, en el que ofrece una serie de medidas y recomendaciones de seguridad:
Alert (AA21-042A): Compromise of U.S. Water Treatment Facility
Como siempre, espero que os haya parecido una publicación interesante. Encantado de que deis vuestra opinión, compartáis vuestra experiencia, etc en la sección de Comentarios y de que compartáis esta publicación entre vuestros contactos.
Para saber más
Oldsmar, water treatment and why cybersecurity is so important, artículo en LinkedIn de Agustín Valencia Gil-Ortega, Head of OT Global Cybersecurity en Iberdrola.
Ciberataque a la Super Bowl, artículo de Agustín Valencia Gil-Ortega en la página 44 del número de marzo de 2021 de la revista ClickCiber. (añadido el 28/03/2021)
Oldsmar, Florida water facility credentials contained in COMB data leak, artículo en la revista on line CYBERNEWS.
What does the Florida Water Supply incident mean for ICS Cybersecurity un artículo de la Global Cybersecurity Alliance de ISA.
Recommendations Following the Oldsmar Water Treatment Facility Cyber Attack, un artículo en el blog de la firma de ciberseguridad Dragos.
Following Oldsmar attack, FBI warns about using TeamViewer and Windows 7, artículo en la revista on line ZDNET.
Breached water plant employees used the same TeamViewer password and no firewall, artículo en ARS TECHNICA detallando el incidente.
Florida water hack highlights risks of remote access work without proper security, artículo de CNN.
Deja una respuesta