Colonial Pipeline pirate aucune raison de paniquer à propos d’une attaque d’infrastructure

Une femme remplit des bidons d’essence dans une station-service Speedway le 12 mai 2021 à Benson, en Caroline du Nord. La plupart des stations de la région le long de la I-95 sont sans carburant à la suite du piratage du pipeline colonial.

Sean Rayford | Getty Images

Le piratage du pipeline colonial n’a pas été le premier domino à tomber dans une vague d’attaques soudaines contre les infrastructures critiques américaines, selon plusieurs experts en cybersécurité.

C’était plus probablement le produit de pratiques de sécurité interne bâclées et d’un manuel de piratage et de paiement qui a mal tourné, ont-ils déclaré.

Le FBI affirme que DarkSide, un groupe relativement nouveau sur la scène des ransomwares, est à l’origine de l’attaque. Les signes indiquent qu’il s’agit d’un cas de complot d’extorsion raté, plutôt que du travail coordonné de pirates informatiques résolus à compromettre le réseau énergétique américain.

Quelle que soit la motivation, l’impact était réel.

Le gouvernement fédéral a publié un déclaration d’urgence pour 17 États et DC après la panne du plus grand gazoduc du pays. Des hausses et des pénuries de prix de l’essence ont été signalées à travers les États-Unis, bien que le resserrement de l’offre soit probablement davantage lié à la panique des acheteurs qui se dirigent vers la pompe plutôt qu’à l’attaque elle-même. Colonial a payé près de 5 millions de dollars en rançon pour déverrouiller ses systèmes.

Bien que l’épisode ait révélé à quel point l’infrastructure critique américaine est vulnérable aux cybercriminels, cela ne signifie pas que nous sommes soudainement confrontés à un nouveau risque de fermetures généralisées. Les attaques de ransomwares comme celle-ci sont courantes, mais elles ne visent généralement pas à mettre l’infrastructure hors ligne. Il semble que DarkSide, comme la plupart des attaquants, était motivé par un gain financier plutôt que de compromettre l’approvisionnement en gaz de l’Amérique.

Pendant ce temps, l’attaque a attiré l’attention du nouveau gouvernement sur la flambée des attaques de ransomwares et a incité l’administration Biden à signer un décret mercredi, dans le but de renforcer ses cyberdéfenses.

« En fonction de la réponse du gouvernement américain à [the Colonial Pipeline attack], cela pourrait vraiment faire dire à d’autres groupes: « Hé, nous n’allons pas du tout cibler ces secteurs » « , a déclaré Rick Holland, responsable de la sécurité de l’information chez Digital Shadows, une société de renseignement sur les cybermenaces.

Une attaque commune

Bien que les effets de cette attaque aient été désastreux, le type d’attaque n’était en aucun cas nouveau ou unique. En fait, les attaques de ransomwares – où les criminels installent un logiciel qui gèle ou verrouille les systèmes informatiques jusqu’à ce qu’une entreprise leur verse une rançon, généralement en bitcoin ou dans une autre crypto-monnaie – se produisent tout le temps.

«Tout le monde rend compte de cette attaque de ransomware car elle affecte les réseaux impliquant un oléoduc», a déclaré Katie Nickels, la directrice du renseignement de la société de cybersécurité Red Canary.

«Ce qui est intéressant pour moi et pour beaucoup d’autres professionnels de la cybersécurité, c’est que ces attaques de ransomwares durent depuis des années. Et il semble que celle-ci, simplement parce qu’elle impliquait des infrastructures critiques aux États-Unis, a frappé un nerf particulier, »continua Nickels.

Au cours de la dernière année et demie en particulier, il y a eu une augmentation rapide de ces types d’attaques, a expliqué l’ancien chargé de cas de la CIA Peter Marta, qui conseille désormais les entreprises sur la gestion des cyberrisques en tant que partenaire du cabinet d’avocats Hogan Lovells.

Nous sommes actuellement au milieu d’une épidémie de ransomware.

Peter Marta

Associé, Hogan Lovells

« Pour votre personne moyenne, c’est une grande nouvelle », a déclaré Marta. « Mais quand j’en ai entendu parler, ce n’était même pas un échec sur le radar … Il y a un manque de compréhension que nous sommes au milieu d’une épidémie de ransomware en ce moment. »

Mais même si le nombre de cyberattaques ballons, le nombre qui sont conçus pour paralyser les systèmes est faible, a expliqué Sergio Caltagirone, qui a passé huit ans à travailler en tant qu’analyste pour l’Agence de sécurité nationale, où il était chargé de trouver, de suivre et de contrer les les cybermenaces les plus sophistiquées au monde.

« Dans l’espace industriel, le nombre de cyberattaques qui ont été conçues pour paralyser les systèmes industriels comme l’eau, l’électricité, le pétrole et le gaz … sont même beaucoup, beaucoup, beaucoup, beaucoup, beaucoup plus petits », a poursuivi Caltagirone, qui était également un directeur du renseignement sur les menaces à Microsoft et est maintenant vice-président du renseignement sur les menaces chez Dragos, une entreprise de cybersécurité industrielle.

« La probabilité la plus élevée qu’un événement perturbateur majeur comme celui-ci se reproduise à l’avenir est le fait d’attaques par inadvertance comme celle-ci. »

Défenses bâclées

Les infrastructures physiques américaines ont généralement tendance à être vulnérables et les pipelines sont particulièrement difficiles à défendre. Bien que ce ne soit pas une bonne nouvelle, c’est le cas depuis des années – et les attaquants le savent depuis longtemps. L’attaque de la semaine dernière ne change rien à cela et ne révèle aucune nouvelle information.

Leo Simonovich, responsable de la cybersécurité industrielle chez Siemens Energy, a déclaré à CNBC qu’une partie du problème est que, lorsque les sociétés pétrolières et gazières connectent des actifs physiques tels que des pipelines à des logiciels et des applications numériques, elles ne font essentiellement que renforcer des solutions numériques en plus d’actifs vieillissants.

«Cela crée une situation où il est difficile de détecter les menaces à temps pour qu’elles soient arrêtées et – dans certains cas – même d’appliquer des mesures d’hygiène de base pour vous protéger», a expliqué Simonovich.

Cette attaque visait le réseau de technologie de l’information (TI) traditionnel de l’entreprise, et non son réseau de technologie opérationnelle (OT), c’est-à-dire les systèmes qui déplacent les vannes, démarrent et arrêtent les pompes, mesurent les choses, etc. Colonial Pipeline a appelé à fermer son réseau OT et son pipeline après avoir découvert la brèche, pas DarkSide.

C’est une pratique courante, mais cela ne signifie pas que le réseau OT lui-même était vulnérable, dit Simonovich. « Avec cette attaque, et dans d’autres attaques, les opérateurs finissent par arrêter toute leur production OT, car ils ne peuvent pas être certains de ce qui a été impacté par l’attaque ou comment y répondre. »

Les cybercriminels n’ont probablement rien appris de nouveau la semaine dernière. Les pipelines sont très différents les uns des autres, car ils sont construits à cet effet. Une attaque contre un type très spécifique de pipeline de carburant ne mènera pas nécessairement à une attaque contre un autre.

De plus, comme les intrus aiment généralement se renseigner sur les réseaux de leur victime avant de lancer une attaque, les défenseurs ont généralement de multiples possibilités de trouver et d’arrêter la chaîne d’attaque des ransomwares avant qu’elle n’atteigne l’exfiltration et le cryptage des données.

«Un réseau ne se réveille pas un matin et ne sort de nulle part», a déclaré Nickels. « Il doit passer par toute une chaîne d’attaque … Il y a tellement d’opportunités pour les défenseurs d’arrêter ce ransomware. »

Souvent, les ransomwares pénètrent via un e-mail de phishing ou une connexion réseau qui n’est pas sécurisée par une authentification à deux facteurs. Nickels dit que des techniques d’hygiène simples peuvent arrêter cet accès initial.

Un réseau ne se réveille tout simplement pas un matin et n’est pas «rançonné» de nulle part.

Katie Nickels

Directeur du renseignement, Red Canary

Effets secondaires indésirables

De nombreux signes indiquent que DarkSide ne voulait pas que les choses se déroulent de cette façon.

L’organisation prétend se soucier beaucoup de sa réputation. DarkSide a cultivé une image de «Robin des Bois» et vante un code de conduite dans lequel les pirates prétendent qu’ils ne cibleront pas les hôpitaux, les organisations à but non lucratif et – notamment – les gouvernements.

« Notre objectif est de gagner de l’argent et de ne pas créer de problèmes pour la société », a écrit DarkSide sur son site Web.

La déclaration, qui contenait des fautes d’orthographe et de grammaire, a poursuivi en affirmant que l’organisation n’est pas politique et «ne participe pas à la géopolitique».

« Cela nuit à la marque globale pour DarkSide, et DarkSide est très conscient de la marque », a déclaré Holland. « Ils veulent avoir une marque très positive dans la mesure où: » Si vous nous payez, nous déchiffrerons pour vous. Nous détruirons les données que nous vous avons volées. «  »

« Ils n’avaient pas l’intention que cela soit le résultat de l’attaque, mais cela s’est produit en raison de la complexité des systèmes », a déclaré Caltagirone.

Bien que Nickels ait déclaré qu’il était trop tôt pour le savoir avec certitude, elle a déclaré que DarkSide, au cours de ses dix mois d’histoire, avait généralement ciblé des organisations qui ne posaient pas autant de problème de sécurité nationale.

Dans un sens, dit Holland, l’attaque s’est retournée contre lui – le gouvernement américain est maintenant beaucoup plus concentré sur la menace qu’il ne l’était auparavant, et le président Biden a promis de le faire. « perturber et poursuivre » membres de DarkSide.

« Il y a suffisamment de victimes à extorquer sans avoir à s’attaquer à ces types d’infrastructures critiques », a expliqué Holland. « Je pense qu’il pourrait y avoir des changements de ciblage, où ils s’en prennent à d’autres groupes qui ne vont pas susciter la colère du gouvernement américain et de toutes les agences possibles. »

Mercredi, le groupe de hackers a déclaré qu’il avait déjà attaqué trois autres entreprises depuis l’attaque de Colonial Pipeline. L’une des entreprises est basée aux États-Unis, une au Brésil et la troisième en Écosse. Aucun des trois ne semble s’engager dans des infrastructures essentielles.

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.

Comments