Le piratage du pipeline colonial est un nouvel extrême pour les ransomwares

0
31
Le piratage du pipeline colonial est un nouvel extrême pour les ransomwares


Pendant des années, le L’industrie de la cybersécurité a averti que les pirates informatiques parrainés par l’État pourraient fermer de larges pans de l’infrastructure énergétique américaine dans le cadre d’un acte de cyberguerre à motivation géopolitique. Mais maintenant, les pirates informatiques cybercriminels apparemment axés sur le profit ont infligé une perturbation que les pirates des agences de renseignement et de l’armée n’ont jamais osé, fermant un pipeline qui transporte près de la moitié du carburant consommé sur la côte est des États-Unis.

Samedi, la société Colonial Pipeline, qui exploite un pipeline qui transporte de l’essence, du carburant diesel et du gaz naturel le long d’un chemin de 5500 milles entre le Texas et le New Jersey, a publié un communiqué confirmant des informations selon lesquelles des pirates de ransomware avaient frappé son réseau. En réponse, Colonial Pipeline dit avoir fermé certaines parties de l’exploitation du pipeline pour tenter de contenir la menace. L’incident représente l’une des plus grandes perturbations de l’infrastructure critique américaine par des pirates informatiques de l’histoire. Il fournit également une autre démonstration de la gravité de l’épidémie mondiale de ransomwares.

«C’est le plus grand impact sur le système énergétique aux États-Unis que nous ayons vu d’une cyberattaque, point final», déclare Rob Lee, PDG de la société de sécurité axée sur les infrastructures critiques Dragos. Outre l’impact financier sur Colonial Pipeline ou les nombreux fournisseurs et clients du carburant qu’il transporte, Lee souligne qu’environ 40% de l’électricité américaine en 2020 était produite en brûlant du gaz naturel, plus que toute autre source. Cela signifie, soutient-il, que la menace de cyberattaques sur un pipeline représente une menace importante pour le réseau électrique civil. «Vous avez une réelle capacité à impacter le système électrique de manière large en coupant l’approvisionnement en gaz naturel. C’est un gros problème», ajoute-t-il. « Je pense que le Congrès va avoir des questions. Un fournisseur a été touché par un ransomware suite à un acte criminel, ce n’était même pas une attaque parrainée par l’État, et cela a eu un impact sur le système de cette façon? »

La brève déclaration publique de Colonial Pipeline dit qu’elle a «lancé une enquête sur la nature et la portée de cet incident, qui est en cours». Reuters rapporte que les intervenants en cas d’incident de la société de sécurité FireEye aident l’entreprise et que les enquêteurs soupçonnent qu’un groupe de ransomwares connu sous le nom de Darkside pourrait être responsable. Selon un rapport de la société de sécurité Cybereason, Darkside a compromis plus de 40 organisations victimes et leur a exigé entre 200 000 et 2 millions de dollars de rançon.

La fermeture du pipeline Colonial intervient au milieu d’une épidémie croissante de ransomwares: des pirates informatiques ont paralysé et extorqué numériquement des hôpitaux, piraté des bases de données des forces de l’ordre et menacé de divulguer publiquement des informateurs de la police et paralysé les systèmes municipaux à Baltimore et Atlanta.

La majorité des victimes de ransomwares ne publient jamais leurs attaques. Mais Lee dit que son entreprise a constaté une augmentation significative des opérations de ransomware ciblant les systèmes de contrôle industriels et les infrastructures critiques, alors que les pirates à but lucratif recherchent les cibles les plus sensibles et les plus importantes à risquer. «Les criminels commencent à penser à cibler les industriels, et au cours des sept ou huit derniers mois, nous avons constaté une augmentation des cas», dit Lee. « Je pense que nous verrons beaucoup plus. »

En fait, les opérateurs de ransomwares ont de plus en plus de victimes industrielles dans leur ligne de mire ces dernières années. Hydro Norsk, Hexion et Momentive ont tous été touchés par des ransomwares en 2019, et des chercheurs en sécurité ont découvert l’année dernière Ekans, le premier ransomware apparemment conçu sur mesure pour paralyser les systèmes de contrôle industriels. Même cibler un opérateur de gazoduc n’est pas totalement sans précédent: à la fin de 2019, des pirates ont installé des ransomwares sur les réseaux d’une société américaine de gazoducs sans nom, a averti la Cybersecurity and Infrastructure Security Agency au début de 2020 – mais pas de la taille de Colonial. Pipeline.

Lors de cette précédente attaque de ransomware par pipeline, CISA a averti que les pirates avaient eu accès à la fois aux systèmes informatiques et aux systèmes de «technologie opérationnelle» de l’entreprise de pipeline ciblée – le réseau informatique chargé de contrôler l’équipement physique. Dans le cas du pipeline colonial, il n’est pas encore clair si les pirates ont comblé cet écart avec des systèmes qui auraient pu leur permettre de se mêler de l’état physique du pipeline ou de créer des conditions physiques potentiellement dangereuses. Le simple fait d’avoir un large accès au réseau informatique pourrait être une raison suffisante pour que l’entreprise cesse l’exploitation du pipeline par mesure de sécurité, déclare Joe Slowik, chercheur en sécurité pour Domaintools qui dirigeait auparavant l’équipe de sécurité informatique et de réponse aux incidents au département américain de Énergie. «L’opérateur a fait ce qu’il fallait dans ce cas en réponse aux événements», déclare Slowik. « Une fois que vous ne pouvez plus assurer un contrôle positif sur l’environnement et une visibilité claire des opérations, vous devez l’arrêter. »

LEAVE A REPLY

Please enter your comment!
Please enter your name here