澳大利亞供水設(shè)施被植入后門長達(dá)9個(gè)月，直到年審才發(fā)現(xiàn)

澳大利亞地方審計(jì)署的年度財(cái)務(wù)審計(jì)報(bào)告，國有供水商SunWater遭到網(wǎng)絡(luò)入侵長達(dá)9個(gè)月，自己卻始終毫無察覺；

被入侵服務(wù)器存放了客戶數(shù)據(jù)，但攻擊者似乎無意查看，只是植入了一個(gè)視頻刷量的惡意軟件；

年審報(bào)告稱，再次發(fā)現(xiàn)多個(gè)供水商信息系統(tǒng)存在控制缺陷，網(wǎng)絡(luò)攻擊仍然構(gòu)成重大風(fēng)險(xiǎn)。

黑客在存放昆士蘭州供水運(yùn)營商客戶數(shù)據(jù)的服務(wù)器上潛伏達(dá)9個(gè)月，再次凸顯出關(guān)鍵基礎(chǔ)設(shè)施存在嚴(yán)重的網(wǎng)絡(luò)安全隱患。

作為澳大利亞國有供水運(yùn)營商，SunWater公司負(fù)責(zé)運(yùn)營19處主要水壩、80個(gè)泵站及總長1600英里的輸水管道。

據(jù)澳大利亞昆士蘭州審計(jì)署日前發(fā)布的年度財(cái)務(wù)審計(jì)報(bào)告，SunWater公司遭遇入侵長達(dá)9個(gè)月，自己卻始終毫無察覺。

雖然報(bào)告中沒有直接點(diǎn)名，但澳大利亞廣播公司就此事向當(dāng)局發(fā)出質(zhì)詢，確認(rèn)受害者正是SunWater。

該事件發(fā)生于2020年8月至2021年5月之間，攻擊者設(shè)法侵入了用于存儲(chǔ)供水商客戶信息的Web服務(wù)器。

黑客似乎對(duì)竊取敏感數(shù)據(jù)并不感興趣，只是植入了自定義的惡意軟件，以增加某個(gè)在線視頻平臺(tái)的訪問量。

審計(jì)報(bào)告還提到，沒有證據(jù)表明攻擊者竊取過任何客戶或財(cái)務(wù)信息，相關(guān)漏洞目前已得到修復(fù)。

報(bào)告顯示，攻擊者入侵的是較為陳舊、存在安全缺陷的系統(tǒng)版本，現(xiàn)代且更加安全的Web服務(wù)器則沒有受到影響。

報(bào)告還指出該供水商在賬戶安全方面實(shí)踐不足的問題，例如沒能做到僅為用戶分配完成工作所必需的最低訪問權(quán)限。

事實(shí)上，SunWater公司中有多個(gè)賬戶能夠訪問多個(gè)系統(tǒng)，大大增加了單點(diǎn)入侵的風(fēng)險(xiǎn)。

這是個(gè)普遍性問題

審計(jì)人員檢查了澳大利亞六個(gè)水務(wù)部門的內(nèi)部控制系統(tǒng)，發(fā)現(xiàn)其中三個(gè)存在缺陷(但未明確公布是哪三個(gè))。

報(bào)告主要強(qiáng)調(diào)了幾個(gè)普遍問題，例如缺乏保護(hù)金融交易免受BEC欺詐影響的保障措施、IT系統(tǒng)中存在大量漏洞等。

總之，審計(jì)人員發(fā)現(xiàn)各大公共實(shí)體已經(jīng)根據(jù)去年的建議采取了積極調(diào)整，但仍需要：

● 實(shí)施安全威脅檢測與報(bào)告系統(tǒng)

● 在面向公眾的一切外部系統(tǒng)上啟用多因素身份驗(yàn)證

● 設(shè)定最少八個(gè)字符的密碼長度

● 組織安全意識(shí)培訓(xùn)

● 實(shí)施關(guān)鍵安全漏洞識(shí)別流程

這份審計(jì)報(bào)告還提到，“我們?cè)俅伟l(fā)現(xiàn)涉及信息系統(tǒng)的多個(gè)控制缺陷。面對(duì)COVID-19疫情影響給實(shí)體工作環(huán)境帶來的持續(xù)變化，網(wǎng)絡(luò)攻擊仍然構(gòu)成重大風(fēng)險(xiǎn)。”

雖然財(cái)務(wù)損失確實(shí)可怕，例如2017年針對(duì)某英國供水運(yùn)營商的襲擊事件曾造成64.5萬美元損失，但真正令人膽寒的在于網(wǎng)絡(luò)攻擊給公共安全帶來的威脅。

2021年2月，某黑客獲得了佛羅里達(dá)州奧茲馬水處理系統(tǒng)的訪問權(quán)限，并試圖增加該公共供水網(wǎng)絡(luò)中的氫氧化鈉濃度。

此事給美國政府敲響了警鐘，敦促他們通過有條不紊的升級(jí)措施保護(hù)這些存在感不強(qiáng)、但卻關(guān)乎民眾日常生活的關(guān)鍵基礎(chǔ)設(shè)施。

來源：互聯(lián)網(wǎng)安全內(nèi)參