Nhóm hacker Iran Handala đột nhập hệ thống Cal Water, công bố 5GB dữ liệu khách hàng

Nhóm hacker Handala, một tác nhân đe dọa có liên kết với Iran, tuần này đã khoe khoang về việc đã tấn công thành công vào California Water Service (Cal Water) và công bố 5 gigabyte dữ liệu bị đánh cắp từ nhà cung cấp nước của Mỹ này.

Trong một bài đăng trên blog của mình, nhóm hacker này cho biết cuộc xâm nhập là hành động trả đũa cho các hành động gần đây của Mỹ tại Iran. Họ tuyên bố có khả năng làm gián đoạn việc cung cấp nước nhưng đã chọn không thực hiện điều đó.

Nhà máy xử lý nước

Mặc dù mức độ truy cập thực tế của Handala chưa được xác nhận chính thức, công ty tình báo đe dọa Dataminr cho biết tác nhân này có khả năng đã xâm nhập vào phiên bản RTKBase của Cal Water - một nền tảng trạm cơ sở GNSS, sau đó di chuyển ngang (lateral movement) sang hệ thống tính cước.

Cal Water là một trong những công ty cấp nước thuộc sở hữu tư nhân lớn nhất tại Mỹ, phục vụ khoảng hai triệu khách hàng tại 100 cộng đồng ở California. Công ty an ninh mạng này cho biết quận Chico của Cal Water đã được xác nhận là nạn nhân của cuộc tấn công này. Dữ liệu bị rò rỉ bởi Handala cho thấy họ có khả năng đã truy cập vào cơ sở dữ liệu tính cước của khách hàng và ứng dụng RTKBase nội bộ của Cal Water.

Chi tiết kỹ thuật về cuộc tấn công

Dataminr lưu ý: "Phiên bản RTKBase đã hoạt động liên tục trong khoảng 783 giờ vào thời điểm truy cập, với dữ liệu hiệu chỉnh GPS được truyền trực tiếp qua tất cả bảy điểm kết nối (mountpoints) quận được xác định".

Công ty này nhận định: "Hệ thống tính cước và nền tảng RTKBase đại diện cho các cơ sở hạ tầng riêng biệt. Mạng lưới RTKBase được đánh giá là một vectơ truy cập ban đầu hoặc điểm chuyển đổi ngang có thể đã cho phép tác nhân tiếp cận môi trường tính cước".

Dữ liệu do Handala công bố dường như là một xuất khẩu cơ sở dữ liệu hàng loạt chứa thông tin nhận dạng cá nhân (PII) như tên, địa chỉ, số điện thoại, số tài khoản và lịch sử thanh toán.

Ngoài ra, gói dữ liệu này còn bao gồm thông tin xác thực quản trị cho nền tảng RTKBase và mật khẩu nguồn NTRIP cấp điểm kết nối. Tác nhân đe dọa cũng đã thực hiện liệt kê (enumeration) các địa chỉ IP liên quan đến mạng lưới NTRIP của Cal Water trên bảy quận.

Nguy cơ từ malware hủy diệt

Dataminr cảnh báo rằng mặc dù sự gián đoạn OT/ICS (Công nghệ vận hành/Hệ thống điều khiển công nghiệp) chưa được xác nhận trong sự việc này, nhưng bộ công cụ của Handala bao gồm các trình xóa (wiper) tùy chỉnh (win.handala, Handala Wiper, Hamsa Wiper) và khả năng ghi đè MBR.

Nhóm này đã chứng minh sự sẵn lòng leo thang từ đánh cắp dữ liệu sang các hoạt động phá hủy trong cùng một chuỗi chiến dịch, như bằng chứng trong sự kiện Stryker trước đây.

Dataminr khuyến nghị rằng tất cả thông tin xác thực bị lộ trong gói dữ liệu nên được coi là đã bị xâm phạm và cần được thay đổi ngay lập tức; phiên bản RTKBase cần được ngắt kết nối và kiểm toán; cũng như việc phân đoạn mạng và nhật ký truy cập vào hệ thống tính cước cần được xem xét lại.

Hình ảnh minh họa an ninh mạng

Tính đến thời điểm này, Cal Water chưa thừa nhận công khai về vụ xâm nhập. SecurityWeek đã gửi email cho công ty này để xin bình luận và sẽ cập nhật bài viết nếu có phản hồi.

Về nhóm hacker Handala

Được Mỹ liên kết với Bộ Tình báo và An ninh Iran (MOIS), Handala đã hoạt động từ năm 2008 và cũng được theo dõi dưới các tên gọi khác như Handala Hack, Banished Kitten, Dune, Hanzalah Hacking Group, Homeland Justice, Red Sandstorm, Storm-0842 và Void Manticore.

Nhóm này được biết đến với việc tham gia vào một loạt các hoạt động rộng lớn, từ hacktivism đến các cuộc tấn công phá hủy, tập trung chủ yếu vào việc exfiltrate dữ liệu, triển khai malware wiper và các hoạt động tâm lý chiến.

Dataminr kết luận: "Mô hình hoạt động của Handala thường liên quan đến một tuyên bố ban đầu theo sau là hành động leo thang. Các đội ngũ an ninh nên coi việc tiết lộ hiện tại là một tiền đề có thể cho một hành động phá hủy tiếp theo và chuẩn bị tư thế phòng thủ phù hợp".