Aux Etats-Unis, les autorités s’inquiètent d’attaques sur les systèmes industriels

Aux Etats-Unis, les autorités s'inquiètent d'attaques sur les systèmes industriels

Selon l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), des pirates ont mis au point des outils personnalisés permettant d’obtenir un accès complet à un certain nombre de systèmes de contrôle industriel (ICS) et de dispositifs de contrôle et d’acquisition de données (SCADA).

Cet avertissement figure dans un avis conjoint de cybersécurité publié par le ministère de l’Energie américain (DOE), la CISA, la NSA et le FBI, qui invite tous les exploitants d’infrastructures critiques à renforcer immédiatement la sécurité de leurs dispositifs et réseaux ICS/SCADA.

publicité

Les logiciels malveillants ont été développés pour viser les automates programmables (PLC) de Schneider Electric et OMRON Sysmac NEX, ainsi que pour les serveurs OPC UA (Open Platform Communications Unified Architecture).

Selon la CISA, ces outils permettent de créer des « exploits hautement automatisés » contre les dispositifs ciblés.

La société de sécurité ICS Dragos, qui a étudié le logiciel malveillant, l’a baptisé Pipedream, le septième exemple connu de malware visant spécifiquement les ICS après Stuxnet, Havex, BlackEnergy, Crashoverride et Trisis. Elle attribue le malware à un acteur de menace persistante avancée (APT) baptisé Chevronite.

« Pipedream est un framework d’attaque ICS modulaire qu’un adversaire pourrait utiliser pour provoquer des perturbations, des dégradations, voire des destructions en fonction des cibles et de l’environnement », explique Dragos.

Mandiant appelle ce malware INCONTROLLER. Début 2022, Mandiant a collaboré avec Schneider Electric pour analyser ce logiciel malveillant.

Le groupe peut perturber les dispositifs ICS après avoir pris pied dans le réseau industriel d’une cible. Les attaquants peuvent également compromettre les postes de travail Windows utilisés par les ingénieurs avec un exploit pour les vulnérabilités connues dans les pilotes de cartes mères ASRock, selon la CISA.

Une vulnérabilité connue d’ASRock est répertoriée sous le nom de CVE-2020-15368 et affecte le fichier AsrDrv103.sys. L’exploitation de cette dernière peut être utilisée pour exécuter un code malveillant dans le noyau Windows, ce qui contourne les protections antivirus.

Les agences soulignent que les organisations du secteur de l’énergie, en particulier, doivent mettre en œuvre les détections et les mesures d’atténuation détaillées dans l’alerte.

« En compromettant et en maintenant un accès complet au système des dispositifs ICS/SCADA, les acteurs APT pourraient élever leurs privilèges, se déplacer latéralement dans un environnement industriel et perturber les dispositifs ou les fonctions critiques », note le CISA.

Les appareils connus pour être ciblés par le groupe APT incluent :

  • Schneider Electric MODICON et MODICON Nano PLCs, y compris (mais sans s’y limiter) TM251, TM241, M258, M238, LMC058, et LMC078 ;
  • OMRON Sysmac NJ et NX PLCs, y compris (mais sans s’y limiter) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK, et R88D-1SN10F-ECT ;
  • les serveurs OPC Unified Architecture (OPC UA).

Schneider Electric note dans un bulletin de sécurité au sujet du malware qu’il n’a pas connaissance d’une utilisation confirmée ou potentielle du malware, mais précise que « le framework a des capacités liées à la perturbation, au sabotage et potentiellement à la destruction physique ».

Les agences exhortent les organisations à « isoler les systèmes et réseaux ICS/SCADA des réseaux d’entreprise et d’internet à l’aide de contrôles de périmètre rigoureux, et à limiter toute communication entrante ou sortante des périmètres ICS/SCADA ».

Elles recommandent également d’utiliser une authentification multifactorielle pour l’accès à distance aux réseaux et dispositifs ICS, de changer régulièrement tous les mots de passe de ces derniers et de supprimer tous les mots de passe par défaut.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *