Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Cybereason a créé un "honeypot" simulant le réseau d'une compagnie électrique afin d'analyser les cyberattaques ciblant les infrastructures critiques

Le , par Sandra Coret

38PARTAGES

6  0 
Les chercheurs de Cybereason analysent les phases classiques, représentatives des cyberattaques actuelles contre les grandes infrastructures

Le spécialiste de la détection et la réponse aux cyberattaques ciblant les endpoints (EDR), Cybereason, a créé un pot de miel/honeypot simulant le réseau IT-OT d'une grande compagnie d'électricité présentant des opérations en Europe et en Amérique du Nord. L'objectif du projet mis en place depuis le début de l’année 2020, était de découvrir les tactiques, techniques et procédures utilisées par les cybercriminels pour infiltrer les réseaux d'infrastructures critiques (réseaux électriques, systèmes de gestion des eaux, systèmes SCADA, etc.) dans le monde entier. Par rapport à une première simulation menée en 2018, ce "honeypot" version 2020 a permis de confirmer que les pirates utilisent des ransomwares au sein d’attaques élaborées en plusieurs phases, pour essayer de contourner les solutions de sécurité en place et optimiser le succès de leurs attaques.

Les ransomwares s’intègrent dans des attaques bien plus sophistiquées, en plusieurs phases

Lors d’une opération similaire en 2018, il n’avait fallu que deux jours à un groupe cybercriminel pour infiltrer le réseau IT-OT du fournisseur d’électricité fictif créé par Cybereason, et y installer des outils malveillants.

Ce nouveau honeypot déployé au début de l’année 2020, a permis d’observer une vraie complexification des attaques ainsi qu’un déroulement assez représentatif des attaques actuelles. Les chercheurs de Cybereason ont ainsi pu identifier le procédé le plus classique des attaques ayant ciblé le système industriel.

  • Phase 1 : La compromission initiale de l’interface d’administration du RDP suite à l’obtention du mot de passe du compte utilisateur via une attaque brute-force, puis le téléchargement et l’exécution d’un script PowerShell, pour créer une backdoor utilisateur.
  • Phase 2 : Le téléchargement de nouveaux outils via le serveur compromis à l’aide du PowerShell, tels que Mimikatz, utilisé pour voler les informations d'identification des utilisateurs. Des informations ensuite utilisées pour tenter de se déplacer latéralement vers les contrôleurs de domaine, l’épine dorsale de l’opération (NB : la tentative de mouvement latéral a échoué dans l’environnement du honeypot, car aucun des comptes utilisateurs volés n’a été autorisé à accéder au contrôleur de domaine).
  • Phase 3 : Déplacement latéraux du malware dans le réseau en utilisant un scanner de réseau pour découvrir d'autres endpoints.
  • Phase 4 : Déclenchement du ransomware après la fin des opérations préliminaires, pour assurer la compromission d’un maximum de endpoints et maximiser l’impact de l’attaque.


Israël Barak, RSSI de Cybereason explique : « Le modèle d’attaque est bien différent de celui que nous avions observé en 2018. A l’époque, notre honeypot avait été ciblé par des attaques DDoS, du phishing, et différents types de malwares, de cryptominage notamment. Un attaquant était également parvenu à installer une backdoor puis à la revendre sur le Dark Web ». Il ajoute : « En 2020, nous n’avons pas détecté beaucoup de nouvelles souches de malwares, ce qui démontre que les outils existants sont toujours efficaces. La nouveauté est bien dans le ciblage et le processus en plusieurs phases qui rend les attaques bien plus dangereuses. Cette menace devrait définitivement et rapidement devenir la préoccupation première de toute infrastructure critique, et des responsables de leur sécurité informatique ».

Le piratage d’infrastructures critiques en très forte hausse

Même s’il est avéré que les cyberattaques contre des infrastructures critiques sont souvent parrainées par des États, elles peuvent être aussi être le fait de groupes cybercriminels sophistiqués et indépendants. A titre d’exemple, citons par exemple, le plus grand fournisseur d'énergie du Portugal, EDP, qui a été victime d’un ransomware en 2020. Les attaquants menaçant de divulguer 11 téraoctets d'informations sensibles si une rançon de 11 millions de dollars n'était pas payée.


Israël Barak, RSSI de Cybereason

A propos de Cybereason

Cybereason, édite l’une des plus importantes plateformes de cyberdéfense. Grâce à une approche complètement nouvelle de la cybersécurité, et à des services de prévention, détection, réponse et surveillance active contre les menaces ciblant les terminaux, Cybereason permet aux entreprises de reprendre l’avantage sur les menaces qui les ciblent. La solution offre une prévention multicouche des terminaux en exploitant les techniques avec ou sans signature pour éviter les menaces connues et inconnues, conjointement avec des techniques de comportement, afin d'empêcher les rançongiciels et les attaques sans fichier. Cybereason est une société privée dont le siège social se trouve à Boston et qui compte des bureaux à Londres, Sydney, Tel-Aviv, Tokyo, dans la région Asie-Pacifique et en Europe continentale.

Lire l'analyse complète

Source : Cybereason

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Carhiboux
Expert éminent sénior https://www.developpez.com
Le 19/06/2020 à 13:29
C'est intéressant,

mais comment cette entreprise peut-elle réellement se faire passer pour un fournisseur d'énergie réel?

Je veux bien qu'ils aient éventuellement mis en place physiquement à différents endroits du globe des serveurs qui simulent une activité réelle.

Mais les acteurs étatiques, surtout ceux qui sont en capacité de mener de telles attaques, ils ont probablement DÉJÀ une cartographie assez précise des différents acteurs du domaine de l'énergie, donc un nouvel acteur qui apparait du jour au lendemain, c'est plus un pot de miel, c'est un grand néon qui clignote et qui dit "piège à imbéciles", non?

Du coup, est-ce que cela ne donne pas plutot une vision de ce que les groupes indépendants mais qui n'ont pas de moyens de surveillances globaux peuvent faire (comme cité en exemple, le ransomware sur la compagnie portugaise qui ne semble pas venir d'un acteur étatique).

Les capacités réelles des grandes puissances, elles, elles restent inconnues, même si on peut supposer qu'ils pratiquent de la même manière, en plus sophistiqué.

Sans compter les failles logicielles ou matérielles dans les composants clé de l'infrastructure ; on parle beaucoup de Huawei en ce moment, mais faut pas se leurrer, si les USA sont si persuadés que la Chine récupère les données des équipements de cette marque, c'est sans doute en grande partie parce qu'eux même le font aussi avec Cisco!
1  0