Un programme fédéral américain a exposé un matériel de surveillance caché à l’intérieur des systèmes OT; Les cyber-experts avertissent que ce n’est que le début d’une campagne plus large ciblant l’infrastructure américaine.
Les acteurs de la menace sont devenus plus cratesques car ils ciblent de plus en plus des infrastructures critiques, notamment des environnements de technologie opérationnelle (OT) tels que les réseaux électriques, Nate Gleason, chef de programme au Lawrence Livermore National Laboratory (LLNL), a déclaré aux régulateurs lors d’une audience fédérale mardi.
« Nos adversaires considèrent notre infrastructure critique comme une cible attrayante », a-t-il déclaré au sous-comité de la sécurité intérieure américaine sur la protection de la cybersécurité et des infrastructures. «Ces adversaires sont très capables et investissent des ressources importantes dans le développement de capacités pour maintenir nos systèmes d’infrastructure et les fonctions qui en dépendent, à risque.»
Riposter avec le programme Cybersentry
Le sous-comité de sécurité a tenu l’audience pour discuter de l’évolution des attaques contre les infrastructures critiques et les environnements OT au cours des 15 années qui ont suivi Stuxnet, une arme numérique conçue pour saboter le programme nucléaire de l’Iran, a émergé en 2010.
Par exemple, Gleason a déclaré lors de son témoignage, en 2022, dans le cadre d’un programme fédéral américain, des chercheurs de la LLNL en Californie ont détecté des caméras de surveillance connectées à Internet furtivement intégrées dans des systèmes d’infrastructure critiques. Ils renvoyaient des informations aux serveurs étrangers exploités par des acteurs hostiles présumés. LLNL a rapidement construit un outil de détection et produit des livres de jeu pour résoudre le problème, et la Cybersecurity and Infrastructure Security Agency (CISA) a émis des alertes généralisées pour atténuer le problème.
L’une des façons dont les États-Unis se battent est avec le programme Cybersentry, qui s’associe à la CISA des sociétés du secteur privé qui se portent volontaires pour que leurs systèmes soient surveillés pour une activité malveillante. Les participants proviennent de secteurs, notamment l’énergie, le transport, la fabrication critique, l’industrie nucléaire et autres.
C’est grâce à ce programme que LLNL a développé la capacité de détecter ce qu’elle a appelé «un comportement de défilé subtil malveillant» que les outils disponibles n’ont pas pu reprendre. Dans son laboratoire de Skyfall, l’équipe de Gleason a créé un environnement OT et a déployé divers échantillons de malware de malgré les logiciels malveillants pour tester des outils commerciaux et open-source. Ils ont ensuite construit une analyse avancée, augmentant sa sensibilité pour détecter des menaces plus subtiles et améliorer la sélectivité pour réduire les faux positifs.
L’analytique a ensuite été déployé dans l’environnement Cybersentry – et les analystes «presque immédiatement» des menaces ont détecté des balises anormales sur le réseau OT d’une entreprise participante qui émanaient de caméras construites par le fabricant chinois Dahua et d’autres fabricants, à la fois étrangers et domestiques, a expliqué Gleason. Dahua, en particulier, a été identifié par la Federal Communications Commission (FCC) comme présentant un risque inacceptable pour la sécurité nationale.
LLNL a découvert que la majorité des participants à Cybersentry avaient ces caméras sur leurs réseaux, dans certains cas dans les centaines. En plus des communications avec des serveurs hostiles suspects à l’étranger, les ingénieurs inverses ont pu identifier les fonctionnalités qui pouvaient permettre un accès à la porte arrière à n’importe quel réseau auquel les appareils étaient connectés.
« Beaucoup de ces caméras étaient assis sur des réseaux OT, accordant potentiellement l’accès au contrôle des processus physiques de notre infrastructure », a déclaré Gleason.
Son équipe a construit un modèle d’apprentissage automatique (ML) pour automatiser la détection des caméras et l’a déployée chez les partenaires de Cybersentry participants. Les agences fédérales ont également largement communiqué les résultats et le laboratoire a développé un ensemble de livres de jeu publiés par CISA.
« Les gains de sécurité provenant de ce partenariat entre quelques dizaines de propriétaires d’infrastructures critiques et la CISA ont largement réverbéré dans les infrastructures critiques américaines », a déclaré Gleason.
It et OT sont fondamentalement différents
Robert M. Lee, PDG et co-fondateur de la société de cybersécurité Dragos, Inc., a également pris la parole lors de l’audience, soulignant que les entreprises et les régulateurs doivent «reconnaître et rendre compte» les différences entre les technologies de l’information (TI) et les systèmes OT.
«Les systèmes informatiques et OT diffèrent fondamentalement dans les objectifs et les fonctions», a-t-il déclaré. «Alors que certains contrôles informatiques traditionnels ont été adaptés pour l’OT, l’état d’esprit de sécurité doit différer.»
Bien qu’il prenne en charge la gestion d’une entreprise, OT permet les fonctions physiques au cœur d’une organisation, comme le contrôle des pompes ou des niveaux chimiques dans une installation d’eau. Ces deux missions différentes devraient façonner la façon dont les risques sont évalués et gérés, a déclaré Lee.
« Bien qu’un adversaire puisse exploiter des vulnérabilités similaires dans les systèmes et les systèmes OT, les conséquences et le comportement adversaire diffèrent », a-t-il déclaré. Alors qu’une violation d’un système informatique peut entraîner un vol de données, dans l’OT, cela pourrait entraîner «des perturbations physiques, des dommages à l’équipement ou même des pertes de vie».
Malgré cela, les opérateurs d’infrastructures ont sous-estimé la sécurité OT. Sur la base de l’expérience anecdotique de Lee, environ 95% des cyber-dépenses sont axées sur elle, et seulement 5% sur l’OT. Ces derniers ont également des exigences opérationnelles distinctes: les systèmes doivent souvent fonctionner en continu pendant des années, nécessitent une redondance et dépendent d’une réactivité précise au niveau de la milliseconde.
Les mentalités de cybersécurité doivent tenir compte des environnements physiques uniques d’OT, des cycles de vie matérielle longs et des menaces en évolution, a déclaré Lee. Ceux-ci dictent différentes pratiques, technologies et réponses politiques. « Les régulateurs et les décideurs doivent reconnaître ces distinctions critiques lors de la définition de la politique », a-t-il déclaré.
Il a averti: «Soyons clairs: le calendrier pour prendre des mesures contre cette menace croissante est court, et les conséquences de l’échec pourraient, et seraient probablement des gens qui meurent.»
L’importance de la CISA 2015
Il y a dix ans, les législateurs américains ont adopté la Cybersecurity Information Sharing Act de 2015, qui a encouragé le partage des renseignements cyber-menaces entre le gouvernement et le secteur privé comme moyen d’améliorer la cybersécurité dans tout le pays. Cependant, sa durée de vie était finie; La loi devrait expirer le 30 septembre 2025.
Tatyana Bolton, directrice exécutive de la Technology Technology Cybersecurity Coalition, ainsi que de nombreux autres experts, appellent à la réautorisation de la loi.
« Cette législation est cruciale pour le partage d’informations et le renforcement de la défense collective américaine », a-t-elle déclaré lors de l’audience d’aujourd’hui.
Les équipes de cybersécurité du secteur privé, en particulier celles protégeant des infrastructures critiques, comptent sur le partage d’informations pour renforcer leurs défenses, a déclaré Bolton, qualifiant ces canaux de communication de «cruciale» pour soutenir la sensibilisation aux menaces nationales et permettre des réponses rapides aux cyber-incidents.
« Si les protections légales établies par la loi devaient être lancées, ce flux d’informations serait perturbé », a-t-elle averti.
