De plus en plus compétents, les groupes de cyberattaquants s’appuient sur des codes malveillants sophistiqués pour infiltrer les réseaux industriels. C’est la conclusion du rapport « OT/IoT Security Report: Cyber War Insights, Threats and Trends, Remediations » réalisé par Nozomi Networks.

Ce spécialiste américain de la protection des réseaux industriels, distingue quatre tendances fortes : le nombre croissant d'appareils connectés de l’IoT (Internet des objets) ; la sophistication croissante des cyberattaques ; la dépendance accrue à l'égard des services dans le cloud et du partage des données ; la multiplication des attaques contre les infrastructures critiques et les systèmes de contrôle industriel.

Concernant la sophistication des actions malveillantes, Nozomi Networks a observé une forte augmentation des wipers déployés notamment lors d’attaques ciblées de type APT (Advanced Persistent Threat, des attaques furtives de longue durée) depuis le début de la guerre entre la Russie et l'Ukraine.

Les wipers effacent les données

Parfois utilisés conjointement avec des vers pour se propager sur tout le réseau, les wipers sont des codes malveillants qui effacent toutes les données enregistrées sur des disques durs ou les rendent inutilisables. Principal objectif dans le cadre de la cyberguerre : empêcher l'ennemi d'accéder à des données critiques ou essentielles à ses activités.

Dès février dernier, l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA- Cybersecurity and Infrastructure Security Agency), avait alerté sur la multiplication de ces programmes malveillants (HermeticWiper, CaddyWiper, WhisperGate…) visant des infrastructures ukrainiennes.

Accès complet au systèmes de contrôle industriel

Selon Nozomi Networks, les groupes APT s’appuient également sur une famille de codes malveillants permettant d’obtenir un accès complet au Système de contrôle de supervision et d'acquisition de données (SCADA) et aux Systèmes de contrôle industriel (ICS— Industrial Control System).

Baptisés « Incontroller », « Industroyer » ou encore « Pipedream », ils s’appuient sur différents éléments ayant chacun une tache précise : scan d’un réseau, analyse des échanges OPC (Open Platform Communications) utilisés notamment dans le domaine de l'automatisation industrielle…

Spécialisé dans les attaques APT, le groupe Sandworm (qui serait une unité cyber militaire russe) s’est appuyé sur ces malwares pour tenter de mettre hors service plusieurs composants issus de l’IT (Information Technology) et de l’OT (Operational Technology)
d’infrastructures industrielles ukrainiennes.

En février dernier, ce groupe avait déployé Industroyer2 dans le réseau ICS en même temps qu’un malware de sabotage (CaddyWiper) pour ralentir le processus de récupération et empêcher les opérateurs des fournisseurs d'énergie ciblés de reprendre le contrôle des consoles ICS.

Protocoles de communication mal sécurisés

Ces attaques de type APT tentent de détourner différents protocoles utilisés dans les environnements industriels (IEC 60870-5-101, IEC 60870-5-104, IEC 61850, OPC DA). Or, la plupart de ces protocoles ne fournissent pas de mécanisme d’authentification ou de chiffrement et le nombre de vulnérabilités découvertes a fortement augmenté.

Selon ce rapport de Nozomi Networks, le nombre de fabricants d’automates concernés par ces vulnérabilités a progressé de 27 % (une soixantaine de fournisseurs) par rapport au second semestre 2021 et le nombre d’équipements en cause (172) est lui aussi en hausse (+ 19 %). « L'industrie manufacturière, suivie par l'énergie et les soins de santé » sont les plus touchés par ces vulnérabilités qui ont été découvertes selon Nozomi.

Capteurs industriels détournés

Cette étude semestrielle confirme la montée en compétence des attaquants spécialisés dans l’OT. Autrefois distincts, les réseaux IT et OT partagent de plus en plus les mêmes standards et donc les mêmes menaces. Les attaquants profitent toujours des faiblesses de leurs cibles. Selon le rapport de Nozomi, les industriels ne changent pas les mots de passe par défaut dans leurs logiciels IoT. Résultat, le binôme login/mot de passe « nproc:nproc » est le plus utilisé, suivi notamment par « admin/admin ».

Il n’est donc pas étonnant qu’au premier semestre 2022, l’activité des botnets IoT s’est intensifiée. À l’instar de ce qui se passe avec l’informatique où des pirates prennent le contrôle d’ordinateurs (des botnets ou « réseaux zombie »), la finalité des capteurs industriels est également détournée par des cybercriminels pour lancer des attaques DDoS (Distributed Denial of Service, déni de service distribué). Le but est de paralyser l’activité d’un serveur ou d’une ressource web en le submergeant de requêtes.

Sélectionné pour vous