De cyberaanval op de watervoorziening in Texas in januari werd uitgevoerd door een hackersgroepering die banden heeft met de Russische overheid. Dat stellen beveiligingsonderzoekers van Mandiant.
Bij de aanval in januari wisten cybercriminelen de controle over een watertank in Muleshoe, een dorp in Texas, over te nemen. De aanvallers konden inbreken in een remote-loginsysteem voor industriële software, waarmee de watertank kan worden aangestuurd, vertelde manager Ramon Sanchez aan CNN. Vervolgens konden de aanvallers de tank laten overstromen. Pas na een half uur tot drie kwartier kon de machine offline gehaald worden en kon het werk handmatig voortgezet worden. Het getroffen softwaresysteem is inmiddels vervangen. De aanval stond echter niet op zichzelf; in twee andere dorpjes in Texas werd verdachte activiteit in de netwerken aangetroffen. Daarop werden preventieve maatregelen genomen.
Beveiligingsbedrijf Mandiant denkt nu te weten wie achter de aanval zit. Het bedrijf heeft een Telegram-kanaal gevonden van een hackersgroep genaamd APT44, ook bekend als Sandworm en Frozenbarents. Tussen 17 en 18 januari werden daar video’s gedeeld waarin leden van de groep claimen dat ze human machine interfaces kunnen manipuleren, die gebruikt worden om operationele technologie in Poolse en Amerikaanse watervoorzieningsbedrijven aan te sturen. Twee weken daarna vond de aanval plaats. Mandiant vermoedt daarom dat deze groepering achter de aanval zit, hoewel het volgens analisten van het bedrijf lastig is om daar zeker van te zijn. Het kan ook om andere Russisch sprekende hackers gaan die dezelfde persona gebruiken.
APT44 wordt volgens Mandiant gesponsord door de Russische militaire inlichtingendiensten. De groep houdt zich bezig met spionage, aanvallen en beïnvloeding. De hackersgroep is met name bekend van cyberaanvallen in Oekraïne in 2015 en 2016, waarbij de elektriciteit in delen van het land werd uitgeschakeld.