Attaque contre le Colonial Pipeline : Piratage dans le monde physique

Alors que les détracteurs ont fait valoir que les menaces contre les infrastructures physiques sont exagérées et largement théoriques, la liste croissante des organisations qui ont été attaquées avec succès suggère le contraire. Et maintenant, les médias regorgent de rapports sur les effets de l'attaque de rançongiciel lancée contre Colonial Pipeline par le groupe de cybercriminels DarkSide. En fait, beaucoup de choses se sont passées depuis - le président américain Joe Biden a signé un décret visant à améliorer les cyberdéfenses de la nation et la société a repris ses activités normales, tandis que DarkSide affirme avoir fermé boutique. Selon certaines informations, Colonial Pipeline aurait payé 5 millions de dollars de rançon aux cybercriminels.

Quoi qu'il en soit, alors que l'enquête sur l'attaque est en cours, la détection de Win32/Filecoder.DarkSide a eu lieu en octobre 2020, de sorte que les attaquants ne semblent pas utiliser un exploit zero-day particulièrement, parrainé par l'État, pour compromettre leurs cibles.

Depuis des années, nous constatons que des attaquants potentiels sondent discrètement des cibles d'infrastructures critiques, voire lancent des attaques contre des cibles spécifiques de grande valeur, comme le montrent les exemples cités ci-haut. Cette tendance ne montre aucun signe de ralentissement. Lors de ces attaques, on nous a demandé si prévoyions observer des tentatives similaires sur le marché nord-américain. Nous avons répondu par l'affirmative. Et la suite de l’histoire nous a donné raison.

Il est intéressant de noter que dans le cas de NotPetya (aka Diskcoder.C), les éléments spécifiques de l'attaque n'étaient pas non plus des jours zéro super fous. Dans l'environnement actuel, la réalité est que les attaquants n'ont pas besoin d’utiliser (et donc de brûler) les exploits zero-day; ils peuvent s’introduire sans eux.

En consacrant beaucoup de temps à comprendre le réseau et l'infrastructure d'une cible, les acteurs de la menace peuvent créer des séquences d'attaque spécialement conçues, qui sont étonnamment efficaces avec un degré élevé de menaces standard que nous connaissons depuis des années.

Bien que les opérateurs d'infrastructures critiques aient déployé des efforts considérables en matière de sécurité au cours des dernières années, ils commencent avec des équipements, des réseaux et des protocoles de communication vieux de plusieurs décennies. Cela signifie qu'ils n'ont guère plus que des protocoles série (sans sécurité), Modbus, qui n'est pas beaucoup mieux, ou l'un des nombreux autres qui sont tout aussi peu sûrs. Ils ont introduit des passerelles de sécurité et ont fait des progrès, mais il est encore relativement facile de trouver des failles dans l'armure de sécurité. Ils développent des technologies de communication sécurisées, mais l'effort semble encore naissant.

Si l'on ajoute à cela l'impact de la mise hors service d'une partie de l'infrastructure physique que nous considérons généralement comme acquise, les attaquants ont une proie facile à piéger.

Pendant ce temps, les exploitants d'infrastructures critiques tentent d'attirer des spécialistes de la sécurité loin de la Silicon Valley, pour qu'ils travaillent de leurs luxueux bureaux et sécurisent une installation critique ayant une technologie vieillissante. Cela peut être peu attrayant et, par conséquent, difficile à vendre si l'autre option est une startup en vogue dans une grande ville.

Mais lorsque les lumières, l'eau, le carburant ou les réseaux de communication s'arrêtent soudainement, il faut s'attendre à un regain d'intérêt pour la sécurité des infrastructures critiques.

Bien que des groupes sérieux de spécialistes de la technologie lancent des initiatives spécifiques pour contrecarrer les rançongiciels, il est déconcertant de savoir que les attaquants peuvent encore être efficaces en utilisant des menaces vieilles de plusieurs années contre lesquelles nous pensions être protégés et avoir trouvé une solution.