La compagnie d’eau du nord du Texas victime de cyberattaque du ransomware Daixin
Il y a tout juste une semaine, le 28 novembre 2023 le groupe de cybercriminels connus sous le nom de Daixin Team revendique la cyberattaque contre la compagnie d’eau du nord Texas (NTMWD). Depuis, les dossiers extirpés sont en ligne sur le site de fuite. Au nord-est du pays, l’état de Pennsylvanie est aussi la cible de cyberattaques de la part d’une organisation criminelle « Cyber Av3ngers ». Les infrastructures du système d’eau potable d’Aliquippa ciblés. Les opérateurs prenaient partiellement le contrôle sur la distribution.
La compagnie North Texas Municipal Water District (NTMWD) subissait une cyberattaque fin novembre. Elle fournit deux millions de personnes en eau potable dans le nord du Texas, mais pas seulement. L’entreprise fournit également, avec plus de 850 employés, des services de gestion de l’eau, des eaux usées et des déchets solides à de nombreuses villes de l’État.
Une enquête est en cours pour déterminer la teneur des fuites. Le réseau téléphonique est toujours en dérangement. « La plupart de notre réseau d’entreprises a été restauré. […] Nous continuons de fournir ces services comme d’habitude », a déclaré Alex Johnson, directeur des communications pour NTMWD.
Le NTMWD a engagé des experts qui enquêtent activement sur l’ampleur d’une intrusion non autorisée. L’enquête comprend un examen de toute donnée potentiellement touchée par le district, ce qui prend du temps.
Sur l’éventualité d’une rançon exigée par Daixin Team, l’entreprise n’a pas souhaité répondre à The Record.
La CISA avait émis une note sur les attaques contre les sociétés de délivrance et de traitements de l’eau en octobre 2021.
(Crédits : capture d’écran/Daixin Team)
Déjà en 2021, des cyberattaques visant des infrastructures de traitement ou d’alimentation en eau touchaient les États-Unis. Une installation californienne d’approvisionnement en eau et de traitement des eaux usées, mais aussi dans le Maine et le Nevada. Ces incidents ont donné naissance à une alerte et un dossier de la part des services de sécurité américains (America’s cyber defense agency). The Record relate que des cybercriminels auraient entrepris d’empoissonner l’eau d’une station de traitement de la baie de San Francisco en janvier 2021. En février, une tentative de modification chimique à Oldsmar, en Floride et une autre en mai 2021 dans la commune de Belle Vernon en Pennsylvanie.
33 844 fichiers sur le site de fuite
Toutefois, Daixin Team avait annoncé la divulgation prochainement des informations volées, c’est désormais chose faite. Deux liens sont en ligne. Le premier est une arborescence des fichiers disponibles. L’autre propose les documents publiés. Les données sont découpées en trois fichiers TX1, TX2 et TX3.
Des fichiers d’audit, des vidéos de lieux de construction d’infrastructure, au format PDF, XLSX… des photos de l’état des installations, des tuyaux… L’entreprise n’a pas fait plus de déclarations sur l’étendue des fuites et des circonstances de l’attaque.
Sauf que l’incident dont elle est victime intervient un jour après qu’une attaque contre une autorité de l’eau en Pennsylvanie ait lieu. Une cyberattaque a frappé Aliquippa. La cyberattaque aurait incité les travailleurs à prendre du matériel hors ligne pour maintenir la pression de l’eau pour les usagers.
(Crédits : capture d’écran/Daixin Team)
L’eau d’Aliquippa attaquée par Cyber Av3ngers
Municipal Water Authority of Aliquippa (MWAA), la compagnie des eaux de l’État de Pennsylvanie a fait l’objet d’une intrusion non autorisée le 27 novembre 2023. La revendication est effectuée par le groupe de cybercriminels pro-iranien Cyber Av3ngers. Ils auraient ciblé un équipement de confection israélienne employé par la firme, sous fond du conflit armé entre Israël et le Hamas. Celui-ci se trouve dans plusieurs entreprises aux États-Unis.
L’objet fabriqué par la société israélienne Unitronics est utilisé dans les installations d’approvisionnement en eau et de traitement des eaux usées, le PLC.
Matthew Mottes, le président du conseil d’administration de la municipalité de l’Autorité des eaux d’Aliquippa, a confirmé à KDKA-TV que le Cyber Av3ngers, avait pris le contrôle de l’une des stations. Une alarme s’est déclenchée dès que le piratage s’était produit. Ce qui a permis de reprendre le contrôle.
L’agence pour la cybersécurité et la sécurité des infrastructures (CISA) n’a pas indiqué le nombre de cibles touchées. L’agence fédérale a informé les fonctionnaires du Sénat et de la Chambre des représentants que les pirates s’étaient introduits dans au moins 10 entreprises de traitement de l’eau relate CNN, selon une de leurs sources.
(Crédits : MWAA)
Ils seraient environ 1 800 PLC exposés dans le monde, dont quelques centaines comme celui visé par l’attaque d’Aliquippa. « Ces dispositifs compromis ont été publiquement exposés à Internet avec des mots de passe par défaut », a déclaré la CISA. En date du 1er décembre 2023, la CISA et ses partenaires publient un avis sur le groupe Cyber Av3ngers. Comme l’explique Zataz, leurs actions passaient sous les radars avant juillet 2023. Avant qu’en septembre ils revendiquent la perturbation de 150 serveurs appartenant aux chemins de fer israéliens.
Ping : Labelians, la polyclinique du Cotentin, SMG Confrère et la province des Loyauté victimes de cyberattaques par ransomware – Libre Expression