Julien
Un avis conjoint sur la cybersécurité publié par la CISA, la NSA, le FBI et le Département de l’énergie (DOE) met en garde contre les groupes de piratage soutenus par le gouvernement qui pourraient détourner plusieurs appareils industriels.
Les agences fédérales ont déclaré que les acteurs de la menace pourraient utiliser des logiciels malveillants modulaires personnalisés pour rechercher, compromettre et prendre le contrôle des systèmes de contrôle industriel (ICS) et des dispositifs de contrôle et d’acquisition de données (SCADA).
« Les outils des acteurs APT ont une architecture modulaire et permettent aux cyberacteurs de mener des exploits hautement automatisés contre des appareils ciblés. Les modules interagissent avec les appareils ciblés, permettant aux opérations des cyberacteurs moins qualifiés d’émuler les capacités des acteurs plus qualifiés », a déclaré le conseil conjoint. lit.
« Les acteurs APT peuvent tirer parti des modules pour rechercher des appareils ciblés, effectuer une reconnaissance des détails de l’appareil, télécharger une configuration/un code malveillant sur l’appareil ciblé, sauvegarder ou restaurer le contenu de l’appareil et modifier les paramètres de l’appareil. »
Les appareils ICS/SCADA risquant d’être compromis et piratés comprennent :
- Automates programmables (automates) Schneider Electric MODICON et MODICON Nano
- les automates Omron Sysmac NJ et NX, et
- Serveurs OPC UA (Open Platform Communications Unified Architecture)
Le DOE, la CISA, la NSA et le FBI ont également constaté que les pirates informatiques parrainés par l’État disposent également de logiciels malveillants qui exploitent CVE-2020-15368 exploite pour cibler les systèmes Windows avec des cartes mères ASRock pour exécuter du code malveillant et se déplacer latéralement vers et perturber les environnements IT ou OT.
Nouveau malware PIPEDREAM ciblant les appareils ICS
Alors que les agences fédérales n’ont partagé aucune information supplémentaire sur les outils de piratage et les logiciels malveillants mentionnés dans l’avis, Robert M. Lee, co-fondateur et PDG de la société de cybersécurité industrielle Dragos, a déclaré que la société suivait l’une des souches de logiciels malveillants comme PIPEDREAM depuis sa découverte début 2022.
« Dragos analyse cela depuis début 2022 et travaille avec nos partenaires du mieux que nous pouvons pour nous assurer que la communauté est au courant », Lee mentionné.
« PIPEDREAM est le septième malware spécifique à ICS. Il est très performant et mérite qu’on s’y attarde. »
Dragos estime avec une grande confiance que cela a été développé par un acteur étatique avec l’intention de le déployer pour perturber des sites d’infrastructure clés.
– Robert M. Lee (@RobertMLee) 13 avril 2022
Les agences fédérales recommandent aux défenseurs des réseaux de commencer à prendre des mesures pour protéger leurs réseaux industriels contre les attaques utilisant ces nouvelles capacités et outils malveillants.
Ils conseillent d’appliquer l’authentification multifacteur (MFA) pour l’accès à distance aux réseaux ICS, de modifier les mots de passe par défaut des appareils et systèmes ICS/SCADA, de faire pivoter les mots de passe et d’utiliser des solutions de surveillance OT pour détecter les indicateurs et les comportements malveillants.
Des mesures d’atténuation supplémentaires peuvent être trouvées dans avis d’aujourd’huiavec plus d’informations fournies par la CISA et le ministère de la Défense sur le blocage des attaques ciblant les systèmes OT [PDF], couche de sécurité du réseau via la segmentationet réduire l’exposition dans les systèmes industriels.