Bilan des dernières cyber attaques contre le secteur de l’énergie

de | 8 octobre 2017

Avec l’accélération de la transformation numérique des organisations, les systèmes critiques sont de plus en plus connectés à des réseaux eux-mêmes connectés ou connectables directement ou indirectement à Internet. Cette connectivité expose les systèmes critiques des organisations à des attaques de plus en plus élaborée et complexes à détecter. Stuxnet avait ouvert la voie en 2010 en démontrant qu’il était possible de compromettre des systèmes critiques du programme nucléaire iranien. Les attaques de 2015 et 2016 conte les infrastructures de distribution électrique ukrainiennes ont laissé dans le noir prêt de 225 000 foyers. Ces derniers mois, plusieurs rapports ont été publiés sur de nombreuses nouvelles attaques contre le secteur de l’énergie dans différents pays. Un phénomène qui semble d’accélération.

  • En juillet : Reuters et le New York Times ont obtenu un rapport, rédigé par les principaux organes de sécurité intérieure américains le Department of Homeland Security -DHS- et le Federal Bureau of Investigation -FBI-, relatif à des intrusions dans les réseaux informatiques d’entreprises qui opèrent des centrales nucléaires sur le territoire américain ;
  • Sur la même période, l’agence de renseignements britannique, le GCHQ, a identifié un certain nombre d’attaques qui visaient de nombreux secteurs industriels dont l’énergie et l’eau.
  • En août : le journal rish Independent annonce qu’une intrusion a eu lieu en avril 2017 dans les systèmes du gestionnaire de l’infrastructure de distribution électrique de l’Irlande, EirGrid.
  • En septembre : l’éditeur de solution de sécurité FireEye publie un rapport concernant des attaques qui ciblaient les secteurs de l’énergie et l’aérospatiale, initiées par le groupe APT33 affiliée au gouvernement iranien ;
  • En septembre : l’éditeur de solution de sécurité Symantec publie un rapport sur une nouvelle vague de cyber attaques qui a visé des acteurs du secteur de l’énergie en Europe et en Amérique en 2015 jusqu’en 2017. Cette vague d’attaque a été attribuée au groupe, en l’occurence Dragonfly, connu également sous le nom Energetic Bear, qui avait ciblé le même secteur début 2013.

Concernant le rapport du DHS et du FBI : il indique que l’intrusion a été précédée d’une campagne qui ciblés les agents des centrales et qui était destinait à installer du code malicieux sur leur poste de travail afin de récupérer leurs identifiants et mots de passe. La campagne utilisait trois vecteurs :

  • Envoi de mails vers les adresses professionnelles des agents. A ces mails, qui avaient pour objet des offres d’emploi, était joint un document Microsoft Word qui détaille les offres d’emploi. Ce document Word contenait un code malicieux qui permettait aux attaquants de récupérer les identifiants et mot de passe associés de la cible (la technique est désignée par spread phishing) ;
  • Compromission des sites que fréquentaient les agents. Ces sites installaient un code malicieux sur les postes de travail des accédants (la technique est désignée par watering hole) ;
  • Redirection du trafic Internet de ces agents vers les ordinateurs des attaquants.

Le rapport ne précise pas la finalité de l’intrusion : espionnage ou préparation d’un sabotage, la profondeur de l’intrusion : si les systèmes de contrôle des centrales ont été compromis et, encore moins, le nombre d’installations industrielles compromises.

Sur la même période le service de renseignements électroniques du Royaume-Uni -GCHQ- a indiqué dans un rapport interne qu’une série de connections depuis des infrastructures critiques vers des états hostiles ont été détectées. Les activités semblent avoir commencé vers le 8 juin dernier. Le rapport ne décrit pas exactement les vecteurs d’attaques utilisés. Par contre, il fait référence au rapport du DHS et du FBI.

Dans l’intrusion EirGrid, l’attaque a ciblé, en premier, les routeurs de l’opérateur Vodaphone qui interconnecte les sites d’EirGrid. Après avoir compromis les routeurs de l’opérateur, les attaquants ont collecté le trafic relatif un poste électrique localisé à Shotton. Ce poste fait partie de l’interconnexion, longue d’environ 260 km qui relie Deeside, dans le nord du pays de Galles, et Woodland, dans le comté de Meath, en Irlande. L’interconnexion désignée par East-West Interconnector (EWIC), permet, depuis 2012, à l’Irlande d’importer et d’exporter de l’énergie depuis et vers l’Angleterre et l’Europe. L’opérateur EirGrid a indiqué que seules les données qui ont transité par les routeurs ont été compromises. De plus, il n’est pas en mesure de confirmer qu’aucun programme malveillant n’a été installé sur le site ! Cette attaque n’a pas été officiellement attribuée même si les faits semblent montrer qu’il s’agit d’une attaque commanditée par un état.

Le groupe APT33, affilié à l’état iranien, a ciblé une série d’entreprises du secteur de l’aérospatial et de l’énergie aux Etats-Unis, l’Arabie Saoudite et la Corée du Sud. L’attaque semble avoir pour objectif de disposer d’informations sur différents conglomérats qui se créent entre ses trois pays dans ces deux secteurs. Comme dans le premier cas, le groupe APT33 a utilisé le spread phishing basé sur des offres d’emploi pour disposer de points d’entrée dans les systèmes ciblées par les attaques.

Pour terminer, revenant sur le groupe Dragonfly, actif depuis 2011 et qui a commencé à cibler le secteur de l’énergie en 2013. Sur leur première campagne de 2013, le groupe avait compromis des acteurs du secteur dans les pays suivants : Etats-Unis d’Amérique, Espagne, France, Italie, Allemagne, Turquie et la Pologne. Dans sa nouvelle campagne, qui a commencé en 2015, la compromission de systèmes industriels du secteur de l’énergie a été confirmée dans trois pays : les Etats-Unis d’Amérique, la Suisse et la Turquie. Le lien entre les deux campagnes d’attaques a été fait grâce aux mêmes malwares qui ont été (ré)utilisés

En terme de vecteurs d’attaque, la totalité de l’arsenal a été utilisé :

  • Le spread phishing basé sur des offres d’emploi ;
  • Le watering hole ;
  • La compromission des fournisseurs de logiciels utilisés par les entreprises du secteur de l’énergie pour y intégrer du code malveillant, en l’occurrence un backdoor (la technique est désignée par supply-chain attack). Après l’intégration du code malveillant, l’attaquant attend que le logiciel soit installé, et donc le backdoor activé, sur une station de travail d’une entreprise ciblée par l’attaque. Plus le secteur d’activité est spécifique, plus la liste des fournisseurs de logiciels est restreinte, simplifiant ainsi le ciblage… même s’il existe un récent contre-exemple avec la compromission de la solution CCleaner qui balayait large, vraiment très large en ciblant un outil très très utilisé (cf. ma revue d’actualité du 18 au 24 septembre 2017).

Pour le moment, l’attribution se limite à la description d’un groupe très bien organisé.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *