Selon une société de cybersécurité engagée par Colonial Pipeline dans le cadre de la réponse à l’attaque par ransomware, des pirates informatiques ont accédé aux réseaux du plus grand oléoduc des États-Unis en avril à l'aide d'un mot de passe compromis. Ce qui a entraîné la fermeture délibérée de la société de distribution de carburant et la panique qui a suivi pendant plusieurs jours. Le mot de passe était lié à un compte de réseau privé virtuel désaffecté qui était utilisé pour l'accès à distance, a confirmé le vice-président senior de Mandiant – la division criminalistique de FireEye. Le compte en question n'était pas non plus protégé par une couche de sécurité supplémentaire connue sous le nom d'authentification multifacteur.Tout s'est joué sur un mot de passe. C'est la conclusion de Charles Carmakal de Mandiant, chargé par Colonial Pipeline de découvrir comment les pirates ont pu mettre hors service le plus grand pipeline de carburant du pays, lors d’une interview. Selon l’expert en cybersécurité, les pirates informatiques liés au groupe de cybercriminels opérateurs du ransomware DarkSide ont utilisé un seul mot de passe compromis sur un réseau privé virtuel (VPN), accédant aux serveurs de Colonial le 29 avril par le biais d'un compte qui n'était plus utilisé, mais qui pouvait encore accéder aux réseaux de la société.
La façon dont les attaquants ont obtenu le mot de passe compromis n'est pas claire. Mais la révélation de la façon dont les pirates ont pu mettre à genoux une entreprise de la chaîne d'approvisionnement critique avec quelque chose d'aussi simple souligne les risques graves posés non seulement par les cybercriminels opportunistes, mais aussi par le manque d'hygiène numérique de certaines grandes entreprises américaines.
La cyberattaque contre Colonial – qui a été révélée à l'aube du 7 mai lorsqu'un employé a trouvé une demande de rançon de la part des cybercriminels sur un ordinateur de la salle de contrôle – a été attribuée par les autorités américaines à une bande de pirates informatiques qui opèrent avec le ransomware DarkSide. Le groupe russophone, qui serait basé en Europe de l'Est, se spécialise dans l'élaboration des logiciels malveillants utilisés pour pénétrer dans les systèmes et les met à la disposition de ses affiliés, en échange d'une partie des rançons obtenues.
Comme de nombreux autres groupes de ransomware, DarkSide a ciblé de grandes organisations ayant des polices d'assurance cybernétique et d'énormes volumes de données sensibles sur les consommateurs qui les rendent plus susceptibles de payer une rançon, selon les experts en cybersécurité. Dans le cas de Colonial, son PDG Joseph Blount a déclaré avoir autorisé le paiement d'une rançon de 4,4 millions de dollars peu après le piratage. Les pirates avaient volé près de 100 gigaoctets de données de Colonial Pipeline et menaçaient de les divulguer si la rançon n'était pas payée.
Mais lors de sa première déclaration publique après l’attaque, Blount a dit avoir immédiatement autorisé le paiement de la rançon parce que les dirigeants n'étaient pas sûrs de la gravité de la cyberattaque qui avait porté atteinte à ses systèmes ni du temps qu'il faudrait pour remettre le pipeline en état. Blount a reconnu publiquement qu'il s'agissait d'une option qu'il estimait devoir utiliser, compte tenu des enjeux liés à la fermeture d'une infrastructure énergétique aussi essentielle.
La semaine prochaine, Blount doit témoigner devant les commissions de la sécurité intérieure du Sénat et de la Chambre des représentants, où il devrait être pressé de fournir des détails sur la chronologie de l'attaque et la réponse de Colonial. Le ministère américain de la Justice a récemment annoncé qu'il prévoyait d'accorder aux affaires de ransomware – semblables à celle lancée contre la société Colonial Pipeline basée en Géorgie le mois dernier – la même priorité qu'aux affaires de terrorisme.
Un compte VPN n’utilisant pas l'authentification multifacteur a facilité l’accès
Carmakal a noté lors de l’interview que le mot de passe en question aurait été trouvé parmi d'autres mots de passe divulgués sur le dark web, cela suggère qu'un employé de Colonial peut avoir utilisé le même mot de passe d’un compte Colonial dormant sur un autre compte qui a été piraté précédemment, a-t-il ajouté. Carmakal a ajouté toutefois qu'il n'est pas sûr à 100 % que le dark web est la source du mot de passe dans cette attaque particulière, notant que cette source pourrait ne jamais être découverte.
Dans un précédent rapport, CNN a rapporté que le jour où l'incident a été signalé, la « porte de Colonial était grande ouverte », selon une source familière avec les cyberdéfenses de l'entreprise. Les mots de passe constituaient une vulnérabilité particulière, selon la source. Colonial Pipeline n'a pas donné de détails spécifiques sur son protocole de sécurité des mots de passe au moment de l'attaque par ransomware, mais a déclaré que le processus de réinitialisation des mots de passe et les normes de complexité sont automatisés.
Après une "recherche assez exhaustive", Carmakal note qu'il n'est pas clair non plus comment les pirates ont mis la main sur le nom d'utilisateur compromis qui accompagnait le mot de passe, car ils auraient pu le trouver dans une fuite ou simplement expérimenter jusqu'à ce qu'ils le trouvent par eux-mêmes. Ce qui est inquiétant du point de vue de la cybersécurité, c'est que le compte VPN maintenant désactivé ne bénéficiait pas de l'authentification multifacteur, une couche de protection de base qui aurait exigé plus qu'un nom d'utilisateur et un mot de passe pour accéder au réseau.
« Ils n'ont pas mis en œuvre l'authentification multifacteur sur leurs VPN. Il s'agit de l'un des vecteurs d'attaque les plus courants. Les VPN à eux seuls ne suffisent pas », a déclaré un commentateur.
« Nous avons effectué une recherche assez exhaustive de l'environnement pour essayer de déterminer comment ils ont obtenu ces informations d'identification », a déclaré Carmakal. « Nous ne voyons aucune preuve d'hameçonnage pour l'employé dont les informations d'identification ont été utilisées. Nous n'avons pas vu d'autres preuves de l'activité de l'attaquant avant le 29 avril ».
Mandiant a balayé le réseau pour comprendre jusqu'où les pirates avaient pu s'aventurer, tout en installant de nouveaux outils de détection qui alerteraient Colonial en cas d'attaques ultérieures, ce qui n'est pas rare après une violation importante, selon Carmakal. Les enquêteurs n'ont trouvé aucune preuve que le même groupe de pirates a tenté de reprendre l'accès.
Selon Carmakal, Mandiant a également suivi les mouvements des pirates sur le réseau afin de déterminer dans quelle mesure ils ont pu compromettre les systèmes adjacents au réseau d'ordinateurs qui contrôle le flux de carburant. Si les pirates se sont effectivement déplacés au sein du réseau informatique de la société, selon Carmakal, rien n'indiquait qu'ils étaient en mesure de pénétrer dans les systèmes technologiques opérationnels plus critiques, a-t-il déclaré. Ce n'est qu'après que Mandiant et Colonial ont pu déterminer de manière concluante que l'attaque avait été contenue qu'ils ont envisagé de rouvrir leur pipeline, a déclaré Blount qui a participé à l’interview le vendredi.
La nouvelle de la source de l’attaque intervient à la suite d'une autre cyberattaque lancée le week-end dernier contre JBS SA, la plus grande usine de transformation de viande au monde. Les responsables de la Maison-Blanche pensent que des hackers basés en Russie sont à l'origine des deux attaques par ransomware. Alors que les usines de JBS se remettent en marche après la fermeture de tous les abattoirs américains de la société, l'impact de la cyberattaque sur les consommateurs et les restaurants n'a pas encore été pleinement ressenti.
REvil, le groupe de pirates lié à la Russie que le FBI a déclaré responsable de la cyberattaque de JBS, est devenu l'un des groupes de ransomware les plus prolifiques – et les plus connus – de ces dernières années. Les attaques par ransomware sont devenues un problème épineux pour l'administration Biden, notamment après l'attaque de Colonial Pipeline.
Le ministère américain de l'Agriculture a déclaré dans un communiqué mardi soir qu'il « continue de travailler en étroite collaboration avec la Maison-Blanche, le ministère de la Sécurité intérieure, JBS USA et d'autres pour suivre de près cette situation et offrir de l'aide et de l'assistance pour atténuer tout problème potentiel d'approvisionnement ou de prix ».
Colonial aurait engagé Rob Lee, fondateur et directeur général de Dragos Inc, une société de cybersécurité spécialisée dans les systèmes de contrôle industriels, et John Strand, propriétaire et analyste de sécurité de Black Hills Information Security, pour le conseiller sur ses cyberdéfenses et l'aider à éviter de futures attaques.
À la suite de l'attaque contre son entreprise, Blount a déclaré qu'il aimerait que le gouvernement américain s'attaque aux pirates informatiques qui ont trouvé refuge en Russie. « En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mêmes. En tant qu'entreprise privée, nous n'avons pas la capacité politique de fermer les pays hôtes qui abritent ces mauvais acteurs ».
Source : Mandiant
Et vous ?
Qu’en pensez-vous ? Que pensez-vous de la déclaration de Mandiant selon laquelle le mot de passe aurait été trouvé sur le dark Web ? Que pensez-vous du fait que Colonial n’utilisait pas l'authentification multifacteur sur leurs VPN ?Voir aussi :
Les USA vont désormais traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme, en leur appliquant pour la première fois le même modèle d'investigation Colonial Pipeline cherchait à embaucher un responsable de la cybersécurité, avant que l'attaque par ransomware ne bloque ses activités Comment les acteurs des ransomwares ajoutent des attaques DDoS à leur arsenal, pour augmenter la pression sur les victimes Axio étend Axio360, un outil gratuit qui permet aux entreprises d'évaluer leur niveau de vigilance face aux ransomwares 
Envoyé par Stan Adkens
