Régie des eaux US piratée – Le bluff iranien de Handala
Handala, un groupe de hackers liés à l’Iran, vient d’annoncer qu’il aurait pu couper l’eau de 2 millions de Californiens. Le groupe a en effet piraté California Water Service et balancé 5 Go de données pour le prouver…. Mais bon, peu importe ce qu’ils disent, la vérité c’est que non, il n’aurait pas pu.
Et c’est tout l’intérêt de cette histoire que je m’en vais vous conter….
Tout d’abord, quand on regarde ce qu’ils ont vraiment chopé, je vous avoue, on est trèèèèès loin du robinet. Leur point d’entrée, visiblement, c’est un serveur RTKBase, un outil open-source de correction GPS pour les équipes de terrain. Le truc traînait sur Internet, accessible en HTTP sur le port 10000, avec les identifiants admin et les mots de passe en clair. Comme à peu près tous les sites de l’administration française quoi… loool #troll #
dataleakasaservice
.
Et il tournait comme ça depuis plus de 780 heures d’affilée, soit plus d’un mois en libre accès. A partir de celui-ci, les attaquants ont alors pu sauter vers les systèmes de facturation, parce que rien ne séparait correctement le réseau GPS des données sensibles. Et ça leur a permis de récupérer les infos clients d’au moins 7 districts (Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo…) : noms, adresses, téléphones, numéros de compte, historiques de paiement.
Cela veut dire que ce qu’ils ont chopé en réalité, ce sont des fichiers clients, mais pas du tout un accès à une valve ou une pompe, ni même au moindre petit robinet qui goutte… snif…
Donc oui, grosse fuite de données perso, mais pas une seule ligne du système de traitement ou de distribution de l’eau n’a été touchée ! Pas de SCADA, pas d’automate, rien de ce qui pilote physiquement ce qui sort de votre robinet. Les analystes qui ont épluché les données sont très clairs là-dessus : Rien là dedans ne prouve que Handala peut couper l’eau d’une ville américaine. Le groupe n’a d’ailleurs aucun historique connu de sabotage de système de traitement d’eau. Le « j’aurais pu faire pire », c’est de l’intimidation et rien de plus…
Pour comprendre la différence, faut voir à quoi ressemble une vraie attaque sur une infra. Quand on pense sécurité et systèmes industriels, le premier truc qui vient à l’esprit, c’est en général le
SCADA
en place dans les usines, qu’on peut parfois croiser au détour d’un Shodan ou autre.
Une vraie attaque, c’est ça qu’elle vise. Je ne sais pas si vous vous souvenez, mais en décembre 2015, environ
230 000 Ukrainiens ont été plongés dans le noir
à cause d’un malware qui ciblait directement les systèmes de contrôle électrique. Ou
Stuxnet
, qui a physiquement détruit un millier de centrifugeuses iraniennes. Ou Oldsmar en 2021, où quelqu’un a brièvement fait grimper le taux de soude dans l’eau potable d’une petite ville de Floride. Ça, c’est toucher l’OT, la partie qui commande les machines pour de vrai.
Désolé Handala…. lol
Maintenant, faut pas non plus les ranger au rayon des script kiddies parce qu’ Handala, c’est en réalité la façade "hacktiviste" de Void Manticore, un groupe rattaché au renseignement iranien, avec notamment tout un arsenal de wipers maison pour effacer des disques.
Par exemple en mars dernier, ils ont lancé une attaque destructrice chez Stryker, un géant de l’équipement médical. Leur mode opératoire, c’est de voler les données d’abord, puis de revenir ensuite pour tout casser. D’ailleurs ils sont loin d’être les seuls puisque dès 2023, un autre groupe iranien, CyberAv3ngers, avait piraté 75 automates Unitronics dans des stations d’eau et d’autres infras aux États-Unis, au point que la CISA a dû tirer la sonnette d’alarme. En clair, des
hackers iraniens qui s’en prennent aux stations d’eau américaines
, c’est devenu la routine….
Bref, Handala n’a pas coupé l’eau mais le jour où un groupe avec un vrai accès SCADA débarquera, faudra pas venir dire qu’on n’était pas prévenus.
Source : korben.info