Cal Water findet nach Handala-Angriff keine Hinweise auf Aktivitäten in OT-Systemen

Zusammenfassung

Der kalifornische Wasserversorger California Water Service, kurz Cal Water, hat nach eigenen Angaben keine Hinweise darauf gefunden, dass sich die jüngst zugerechnete Cyberattacke auf seine Betriebs- und Leittechnik ausgewirkt hat. Auslöser der Untersuchung waren Behauptungen der iranischen Hackergruppe Handala, sie habe nach einem Zugriff auf Systeme des Unternehmens auch die Wasserversorgung stören können, dies aber nicht getan. Laut Cal Water stützte eine von Google-Tochter Mandiant unterstützte Untersuchung diese Darstellung nicht. Mandiant habe vielmehr bestätigt, dass sich die Aktivitäten der Angreifer auf unbefugten Zugriff auf eine kleine Zahl bestimmter Benutzerkonten innerhalb von zwei Plattformen externer Dienstleister beschränkt hätten. Auch in der internen IT-Umgebung habe Mandiant keine Aktivitäten des Akteurs festgestellt. Handala veröffentlichte nach dem Vorfall 5 Gigabyte an angeblich von Cal-Water-Systemen entwendeten Daten. Cybersicherheitsanalysten fanden darin personenbezogene Informationen und Hinweise darauf, dass ein Abrechnungssystem für Kunden sowie eine interne Anwendung betroffen gewesen sein könnten.

Handala hatte den Vorfall öffentlich für sich reklamiert und erklärt, nach dem Zugriff auf Systeme von Cal Water hätte die Gruppe die Wasserversorgung stören können, habe sich aber dagegen entschieden. Diese Darstellung legte nahe, dass die Angreifer tiefen Zugriff auf industrielle Steuerungssysteme erlangt haben könnten.

Die von Cal Water eingeleitete Untersuchung kam laut dem Unternehmen jedoch zu einem anderen Ergebnis. Gegenüber SecurityWeek erklärte der Wasserversorger, Mandiant habe bestätigt, dass die Aktivitäten des Akteurs auf den unbefugten Zugriff auf eine kleine Zahl spezifischer Benutzerkonten in zwei Plattformen externer Dienstleister begrenzt gewesen seien. Hinweise auf Aktivitäten in der internen Informationstechnik oder in der Betriebstechnik von Cal Water habe Mandiant nicht gefunden.

Nach Angaben von Cal Water ergab die Untersuchung außerdem, dass die Angreifer mit gestohlenen Zugangsdaten auf das Online-Konto eines aktiven Kunden zugegriffen haben. Dieses Kundenkonto habe keinen Zugang zum Abrechnungssystem geboten, und Zahlungsinformationen seien nicht kompromittiert worden. Zusätzlich hätten die Angreifer auf eine externe Website eines Drittanbieters zugegriffen, die mit einem Werkzeug zur Korrektur von GPS-Standorten zusammenhängt. Diese Website enthalte jedoch keine vertraulichen oder sensiblen Informationen.

Parallel dazu hatte Handala 5 Gigabyte an Daten veröffentlicht, die nach Darstellung der Gruppe aus Systemen von Cal Water stammen. Cybersicherheitsanalysten fanden in den veröffentlichten Dateien personenbezogene Informationen. Zudem entdeckten sie Hinweise darauf, dass ein Kundenabrechnungssystem und eine interne Anwendung kompromittiert worden sein könnten.

Cal Water zählt zu den größten im Anlegerbesitz befindlichen Wasserversorgern in den Vereinigten Staaten. Das Unternehmen zog für die Untersuchung externe Cybersicherheitsexperten hinzu, darunter die Google-Einheit Mandiant. In seiner Stellungnahme dankte Cal Water außerdem den staatlichen und bundesstaatlichen Behördenpartnern für deren Zusammenarbeit und Unterstützung während der Untersuchung.

Handala bezeichnet sich selbst als hacktivistisches Kollektiv, wird laut dem Bericht jedoch weithin als Tarnorganisation iranischer staatlicher Hackoperationen angesehen. Unabhängig davon hält Cal Water an dem Ergebnis fest, dass es keine Belege für Aktivitäten des Akteurs in den eigenen internen IT- oder OT-Umgebungen gibt.

Cal Water findet nach Handala-Angriff keine Hinweise auf Aktivitäten in OT-Systemen

Ähnliche Artikel

Neueste Artikel