险被水中下毒的佛州净水厂外包商也被骇

今年初美国佛罗里达州一家净水厂被骇，差点导致净水下毒事件。安全公司又发现案外案，连净水厂外包商也被卷入安全事件。

今年二月佛州奥德马尔（Oldsmar）市一家净水处理厂员工发现，有不明人士入侵公司网络及电脑软件，企图调高净水过程的氢氧化钠，使其浓度调高到正常值的100倍，幸好及时修正，未酿成大错。

消息见报后安全厂商Dragos研究发现，似乎在主要攻击之前，这家净水处理厂还陷入另一桩安全事件。Dragos发现到，净水厂的一家营建基础架构外包商的WordPress网站上有段恶意程式码，并在当时进行水坑式攻击（watering hole），即从所有连向该WordPress程式码的电脑系统搜集资料。从时间点来看，净水厂被骇事件发生当天，也有一个浏览器从奥德马市存取该网站。

细究发现，这段程式码搜集资料起自去年12月20日，到Dragos介入修正问题前已活动58天。研究人员研判攻击者是开采了WordPress多项漏洞，成功植入该段数位指纹（fingerprinting）script。近二个月期间内和该网站有过互动的电脑包括净水厂、美国州-、市-单位以及和水资源有关的民营公司，以及一般合法网页机器人和网站爬虫程式。那段时间被这段程式码分析过的用户电脑超过上千台，多数来自美国境内，特别是佛州。

进一步分析这段数位指纹script，研究人员追踪到和僵尸网络程式TofSee的关联性。他们发现这恶意数位指纹script是代管在一个网络黑市，但这个黑市网站似乎真正身份是僵尸网络病毒TofSee感染装置的“报到”网站。Dragos分析TofSee已感染了1.3万台电脑，

Dragos推断，2月5日早上将近10点存取外包商WordPress网站的浏览器，和该净水厂同一网络。巧合的是，当天早上不明人士透过净水厂控制电脑的人机界面，也在这个时间点骇入企图在水中下毒。

但是研究人员强调，净水厂外包商网站的水坑式攻击和净水厂被骇似乎没有直接关联。该水坑攻击并未释出开采程式，也未存取连结的受害者电脑。研究人员推断攻击者挑选这个外包商网站，可能是想在低调一点的地方搜集资料。

但研究人员仍相信这代表水资源产业的安全风险，也突显对使用营运科技（operational technology，OT）及工控电脑的企业而言，控管未受信任的网站存取行为的重要性。