24 mai 2021

Le vendredi 7 mai, Colonial Pipeline, une société privée et l'un des plus grands exploitants de pipelines aux États-Unis, a indiqué qu'elle avait été victime d'une cyberattaque de ransomware à grande échelle.. Les effets ont été immédiats : pénurie de gaz, hausse des prix et sentiment qu'une fois de plus, l'infrastructure énergétique et de services publics des États-Unis était menacée en raison de vulnérabilités de longue date liées à l'IdO. Ces les attaques contre les entreprises industrielles et de services publics continuent d'augmenter en fréquence et en impactL'essor des systèmes connectés modernes avec l'industrie 4.0 a accru l'efficacité et la surveillance pour les secteurs de l'énergie et des services publics, mais ces systèmes, lorsqu'ils sont mal sécurisés, peuvent devenir un point d'accès potentiel pour les attaquants afin de pénétrer dans les infrastructures informatiques et de télécommunications. L'essor des systèmes connectés modernes avec l'industrie 4.0 a permis d'accroître l'efficacité et la surveillance des secteurs de l'énergie et des services publics, mais ces systèmes, lorsqu'ils sont mal sécurisés, peuvent devenir un point d'accès potentiel pour les attaquants afin de violer l'infrastructure IT & OT.

La tendance à la hausse des cyberattaques n'est pas sans solutions potentielles. Il existe des recommandations d'experts pour l'amélioration de la cybersécurité afin de répondre à la préoccupation croissante au sein de l'industrie de l'IdO et de la fabrication. Le PDG et président de Sightline Systems, Brandon Witte, affirme que ces attaques peuvent être évitées ou leur impact minimisé par la mise en œuvre d'une surveillance des données du système liée à la sécurité sur les réseaux, et d'un protocole strict de sécurité des données.

---

Regarder à la demande : "Les vulnérabilités dont vous ne soupçonniez pas l'existence". | Webinaire sur la cybersécurité avec questions et réponses : Brandon Witte (PDG, Sightline Systems) et EG Pearson (architecte de solutions, Unisys)

---

La société visée, Colonial Pipeline, comprend une infrastructure de transport de 5 500 miles qui permet de livrer 100 millions de gallons (2,5 millions de barils) d'essence, de diesel, de carburéacteur et de pétrole chaque jour. Il représente plus de 45% du carburant utilisé sur la côte est des États-Unis, depuis la côte du Golfe au Texas jusqu'à la région métropolitaine de New York. Pour éviter que l'attaque ne se propage, Colonial a fermé ses systèmes de la côte est, interrompant toutes les opérations de pipeline pendant plus de six jours. Pour reprendre le contrôle de ses systèmes informatiques et de télécommunications, Colonial a choisi de payer $4,4 millions de bitcoins en ransomware, une décision controversée qui s'est soldée par un échec. contre les recommandations du FBI.

"C'était la bonne chose à faire pour le pays". a déclaré Joseph Blount, PDG de Colonial, dans des propos rapportés par l'AP :

Était-ce le cas ? Existe-t-il un moyen d'empêcher que de telles attaques ne se reproduisent à l'avenir ?

Au-delà du coût pour Colonial, les répercussions se font encore sentir dans tout le pays, tant pour les consommateurs que pour les entreprises. La fermeture du gazoduc pendant une semaine et la lenteur du retour à la pleine capacité ont provoqué des achats de panique de la part du public, entraînant de graves pénuries de gaz et de carburant dans tout le pays : selon Reuters, Certains États ont signalé que 90% des stations-service étaient en panne de carburant. Le 19 mai, une semaine après la réouverture de l'oléoduc, 9 500 stations-service étaient toujours en panne de carburant, en particulier dans le centre de l'Atlantique et sur la côte Est. Le prix de l'essence au niveau national a atteint son plus haut niveau depuis 2014, avec une moyenne nationale de $3,04 le gallon. Citant des préoccupations critiques pour la sécurité nationale, le président américain Biden a signé un nouveau décret sur la cybersécurité le 12 mai, à la suite de l'attaque de l'oléoduc, en créant de nouvelles lignes directrices pour la réponse à de telles attaques, en imposant la transparence aux entreprises qui ont été attaquées et en augmentant l'implication du gouvernement à la suite de toute exploitation.

DarkSide : L'auteur du crime

La plupart des experts s'accordent à dire que l'attaquant était DarkSideUne organisation criminelle en Russie et en Europe de l'Est, qui pourrait avoir des liens avec le gouvernement russe. Expérimenté dans les schémas de Ransomware as a Service (RaaS), DarkSide pourrait avoir collecté plus de $90 millions de bitcoins en rançon des cyberattaques passées.

Certains détails précis et une chronologie spécifique de l'attaque et de l'exploitation ne sont pas entièrement connus, mais on pense que DarkSide a spécifiquement ciblé des employés individuels, ont extorqué ou acheté leurs informations d'identification, puis ont utilisé leur accès pour infiltrer le réseau sans contrôle et diffuser des scripts malveillants dans toute l'infrastructure informatique et technique. Ils sont soupçonnés d'avoir utilisé diverses méthodes sophistiquées pour éviter la détection de leur infiltration, y compris l'auto-cryptage du code malveillant au sein du réseau. 

Attaques contre les réseaux RaaS et d'affiliation : Un problème croissant

La prévalence et l'impact de ces types de Les attaques de type "RaaS" augmentent de façon spectaculaireLes organisations criminelles RaaS, comme DarkSide, spécialisées dans le développement de logiciels malveillants et de codes de ransomware, déploient également un vaste réseau de réseaux. Les organisations criminelles RaaS comme DarkSide, qui se spécialisent dans le développement de logiciels malveillants et de codes de ransomware, déploient également un vaste réseau d'agents de sécurité. "des conspirateurs "affiliés", spécialisés dans la recherche, l'identification de cibles potentielles, l'obtention de l'accès aux informations d'identification des utilisateurs ciblés par l'achat pur et simple, l'extorsion, le chantage et/ou l'hameçonnage. Par exemple, DarkSide a reçu un montant connu de $90 millions de bitcoins que DarkSide a collecté auprès d'organisations victimes, il aurait versé $74,7 millions à ses affiliés, dont beaucoup ont des liens avec des organisations criminelles. Ces attaques génèrent paiements massifs de ransomware à tout un réseau de co-conspirateurs.

Cette réalité financière est peut-être reflétée le plus clairement par DarkSide elle-même, qui a ont déclaré publiquement leur intention et la motivation en tant qu'organisation, en écrivant sur leur site web : "oNotre objectif est de gagner de l'argent, pas de créer des problèmes pour la société". 

Cybersécurité de l'IOT : Menaces pour l'infrastructure mondiale

Bien que cette attaque'Bien que l'impact du ransomware puisse être considéré par beaucoup comme un incident malheureux mais isolé, il révèle une menace de sécurité beaucoup plus profonde au sein de l'industrie, dont de nombreux experts craignent qu'elle ne soit exploitée avec des résultats encore plus dévastateurs. La Ransomware Task Force (RTF), un groupe spécialisé composé d'entreprises technologiques, d'agences gouvernementales et de spécialistes de la cybersécurité, affirme que ces cyberattaques ruinent des vies et ont un impact considérable sur la société et l'économie. En l'espace de quelques années, RTF a commenté, “Le ransomware est devenu une menace sérieuse pour la sécurité nationale et un problème de santé et de sécurité publiques".

Un facteur déterminant de la hausse Dans un article d'opinion paru dans la revue Politique étrangèreJason Bordoff, de l'Université de Columbia, conclut que la "L'attaque coloniale rappelle les risques bien connus de cybersécurité pour le système énergétique" et qu'avec l'essor de l'industrie 4.0, "les risques pour le pétrole et le gaz pourraient bien augmenter non seulement parce que les attaquants deviennent de plus en plus sophistiqués, mais aussi parce que l'industrie...". se tourne de plus en plus vers les outils de l'intelligence artificielle et de la numérisation d'augmenter la production et de réduire les coûts". Bien que l'emplacement exact de la source de la brèche n'ait pas été confirmé, Colonial Pipeline est connu pour avoir un réseau de distribution d'eau potable. système IoT sophistiqué Il est rempli de mécanismes de surveillance et de contrôle et d'appareils connectés au réseau. Nous savons que l'entreprise est déjà impliqué dans le cadre d'une enquête de la Chambre des représentants des États-Unis, et au moins une action en justice pour des failles de sécurité potentielles.

Comment se défendre contre ces attaques ?

Se défendre contre ces types d'attaques nécessite des systèmes avancés et des défenses numériques toujours vigilantes, mais cela ne signifie pas que les entreprises ne pourront plus les éviter à l'avenir. Selon Brandon Witte, PDG de Sightline, ces attaques peuvent être évitées et leur impact minimisé grâce à l'utilisation des outils suivants "les réseaux "zéro confiance" et la micro-segmentation. En partenariat avec Unisys Corporation, Sightline a introduit SIAS, qui combine deux solutions de pointe en une seule, offrant aux fabricants une sécurité simple d'utilisation mais puissante pour mieux protéger leurs environnements.

"SIAS™ apporte la confiance zéro, le cloaking, le cryptage et la micro segmentation à la gestion de réseau dans un package facile à utiliser", déclare Witte. "En s'appuyant sur SIAS™ aide les organisations à réduire leur empreinte d'attaque, ce qui minimise la portée et l'impact des attaques telles que celle-ci".

"En fin de compte, ils ne peuvent pas attaquer et exploiter ce qu'ils ne peuvent pas voir.

 

Profil de l'attaque :

Cible : Colonial Pipeline

L'industrie : Pétrole et gaz, Infrastructures critiques

Date : 05/07/2021

Type d'attaque : Ransomware

Demande : Demande d'au moins $4.4 mil bitcoin, confirmée par Colonial comme ayant été payée

Auteur présumé : DarkSide, une organisation criminelle de ransomware as a service (RaaS) basée en Russie et en Europe de l'Est, soupçonnée d'avoir des liens avec des États-nations, ainsi qu'un réseau de co-conspirateurs criminels affiliés.

Méthode d'attaque : 

• Ciblage d'employés et extorsion/achat de données d'identification d'utilisateurs signalés
• Accès non contrôlé à l'ensemble du réseau et des systèmes informatiques et télématiques
• Des mécanismes d'anti-détection auraient été utilisés, y compris l'auto-cryptage des scripts.

Impact immédiat : 

• Colonial a confirmé le paiement de $4,4 millions d'euros en bitcoins pour le ransomware.
• La société a été contrainte de fermer l'ensemble de ses 5 500 miles de gazoduc pendant plusieurs jours
• Il a fallu plus de 6 jours pour que les opérations reprennent complètement.
• a eu un impact sur les prix déjà élevés de l'essence et des carburants dans tout le pays