資安業者發現,某個未公開國家的自來水廠控制系統,遭到激進駭客攻擊,調整水流與添加在水中的化學物質含量的泵浦一度成功被控制,凸顯資安問題危害公共安全,已經不只是杞人憂天。
公布此一攻擊事件的Verizon Security是在其年度資料外洩報告中公布了相關內容,但並未透露遭攻擊水廠的確實地點與所在國家,僅用假名Kemuri水公司稱之。Verizon該報告內容來自該公司在全球參與的資安鑑識調查實際案例,但部分細節與公司名稱在報告中都會保留或以化名取代。
該攻擊採用了SQL Injection與網路釣魚等手法,讓該公司後端的AS/400作業控制主機落入駭客操控。值得注意的是,該公司後端主機的登入資訊,與管理對外的網頁伺服器與線上付款系統的登入資訊相同,而該AS/400主機又與網際網路相連,成為駭客得以成功入侵的關鍵。
該後端主機上負責管理可由程式控制的控制器,用來控制水流大小與要添加在自來水中化學物質的泵浦總量,而成功入侵的駭客由於缺乏相關知識,嘗試調整時導致水廠運作中斷,警報系統啟動,才讓水廠發現有異。
同一起攻擊事件還導致該自來水公司的250萬用戶資料外洩。
供電、供水、天然氣採用的工業控制系統由於是在相對缺乏資安意識的年代設計,但在近年來這些系統開始與網際網路連線後,連帶擴大了相關安全風險。