Face à la hausse des cyber-menaces, le pape de la sécurité numérique publie son répertoire des techniques de hacking industriel

Alors que les conflits géopolitiques s’intensifient en ce début d’année 2020, la cyber-menace plane sur l’industrie. L’Ukraine accuse la Russie d’avoir hacké le fournisseur de gaz Burisma, au sein duquel a travaillé Hunter Biden, le fils de Joe Biden, ancien vice-président des Etats-Unis. Microsoft et la firme de cybersécurité Dragos soupçonnent un groupe de cyber-assaillants lié à l’Iran, Magnallium, de préparer une attaque contre les réseaux d’électricité américains.

Le calendrier est bien trouvé pour Mitre, organisme à but non-lucratif fondé en 1958 et auteur de l’encyclopédie mondiale de la cybermalveillance, qui a publié le 7 janvier dernier sa base de données sur les cyberattaques visant les systèmes de contrôle industriels (ICS), baptisée ATT&CK for ICS. Au sein de cette « matrice » - comme aime l’appeler Mitre – publiée dans un wiki, on trouve un catalogue exhaustif des groupes cybermalveillants qui ont tenté au moins une fois d’infiltrer des réseaux de communication d’une usine (OT) ainsi que leur modus operandi.

ATT&CK for ICS, le « tableau périodique cyber de l’industrie »

Mais l’ONG financée par les Etats-Unis, source de nombreux services de renseignements sur les cyber-menaces (threat intelligence) va plus loin : elle dresse la liste des techniques possibles pour procéder à de telles attaques, les logiciels susceptibles d’être utilisés et les équipements industriels potentiellement visés. Chacun de tous ces éléments se voit attribuer un identifiant unique afin que le cyber-analystes à travers le monde puissent utiliser un vocabulaires commun pour effectuer leurs recherches. « ATT&CK for ICS est un véritable tableau périodique cyber de l’industrie », lance au site Cyberscoop Bryson Bort, fondateur de deux sociétés de cybersécurité, Scythe et Grimm. A son lancement, ATT&CK for ICS répertoriait 81 techniques, 17 logiciels malveillants, 10 groupes de hackers et 7 types d’équipements industriels vulnérables.

Annoncée pour la première fois en avril 2019, cette base de données des cyberattaques industrielles a en réalité pris deux ans de recherches aux équipes de Mitre. Pour y parvenir, ces dernières ont passé leurs journées à « simuler des attaques sur des réseaux OT » dans leurs laboratoires et dans ceux de ses partenaires – 100 personnes réparties dans 39 organisations, indique Otis Alexander, l’ingénieur responsable d’ATT&CK for ICS chez Mitre, dans une vidéo publiée par S4, qui organise des événements consacrés à la cybersécurité industrielle.

« Pourquoi avoir élaboré une matrice spécifique aux réseaux OT alors que Mitre met à jour, depuis 2013, ATT&CK for Enterprise, une base de données similaire pour les cyberattaques sur les systèmes d’information d’entreprises (IT) ? », se demande Otis Alexander dans une publication accompagnant le lancement d’ATT&CK for ICS, diffusée sur la plateforme Medium. « Les cibles, les objectifs et les techniques de l'adversaire diffèrent considérablement entre l’IT d’entreprise et l’OT », répond-il.

Attaquer des réseaux OT nécessite un méthodologie spécifique

Dans le cas d’Industroyer, une cyberattaque menée contre des réseaux électriques en Ukraine en 2016, appelé aussi CrashOverride, les assaillants ont certes utilisé les méthodes de « découverte de systèmes à distance » et de « balayage des services réseau » décrites dans ATT&CK for Enterprise (identifiants T1018 et T1046). Mais le logiciel malveillant utilisé avait aussi « la capacité d'émettre des messages de commande non autorisés pour modifier directement l'état des commutateurs et des disjoncteurs des sous-stations électriques », une technique visant directement les vulnérabilités des réseaux OT et « pas couverte par la base ATT&CK for Enterprise », rappelle Otis Alexander. Elle est décrite dans ATT&CK for ICS sous l’identifiant T855. « ATT&CK for ICS tente d'inclure uniquement les techniques ATT&CK for Enterprise utilisées contre les systèmes qui sont mis à profit dans les étapes finales menant à un impact induit par l'adversaire, ciblé ou non, contre un processus industriel », conclut Otis Alexander.

Aujourd’hui, les « matrices » ATT&CK de Mitre sont utilisées par l’ensemble de la communauté cyber. « Leur grande force : elles mettent l’accent sur les comportements de menace plutôt que sur les indicateurs de compromission [un élément d’analyse utilisée par les cyber-analystes lorsqu’ils découvrent une attaque, ndlr], insiste Austin Scott, de la firme américaine de cyber-analyse industrielle Dragos, partenaire de Mitre. Pourquoi est-ce important ? Bien qu'il soit trivial pour un groupe de hackers de changer les adresses IP, les noms de domaine et les valeurs de hachage de fichiers, il est extrêmement difficile et fastidieux pour de changer de tactiques, techniques et procédures d’action. En se concentrant sur les comportements de menace, la détection des menaces est rendue plus fiable. »

Sélectionné pour vous

L'IRT SystemX fête ses 10 ans : « Nous voulons nous inscrire dans des programmes scientifiques à fort impact », déclare son DG, Paul Labrogère

La start-up Chimere met le darknet au service de la cybersécurité des entreprises

Sécuriser les puces : la solution de Secure-IC primée aux Assises de l'embarqué