L’industrie des semi-conducteurs alimente tout, de l’informatique et de l’intelligence artificielle aux systèmes de défense et à l’Internet des objets. Compte tenu de son importance stratégique, il est devenu une cible privilégiée pour les cybercriminels, les acteurs de l’État-nation et les groupes de ransomwares – dont beaucoup opèrent à travers le Darknet.
Sur ces réseaux cachés, les adversaires échangent une propriété intellectuelle volée, des exploits zéro-jour et même vendent un accès à des environnements d’entreprise compromis. Ce blog explore comment ces attaques compatibles Darknet se déroulent.
Pourquoi les sociétés de semi-conducteurs sont des cibles principales
Sociétés de semi-conducteurs, conception, fabrication et vente de semi-conducteurs qui sont essentiels à l’électronique moderne. Les semi-conducteurs sont des matériaux, généralement du silicium, qui ont une conductivité électrique entre un conducteur et un isolant. Ils alimentent tout, des smartphones et des ordinateurs portables aux voitures et aux équipements médicaux. En raison de leur importance, ces entreprises sont ciblées pour une gamme de raisons et de plusieurs manières.
En raison de leur utilisation de conceptions de puces avancées et de techniques de fabrication, qui valent des millions, elles sont souvent ciblées par des groupes avancés de menace persistante (APT) afin de voler la propriété intellectuelle. Les gouvernements cherchent à contrôler les progrès des semi-conducteurs pour la supériorité technologique et militaire, conduisant à des campagnes de cyberespionnage ciblées.
En raison des composants qui sont nécessaires, les entreprises comptent souvent sur une chaîne d’approvisionnement mondiale complexe composée de nombreuses sociétés et prestataires différentes. Cela les laisse ouverts aux vulnérabilités des acteurs cyber-menaces qui pourraient conduire à un compromis. Les attaques Solarwinds et Kaseya, où les vulnérabilités tierces ont conduit à des compromis à la pension.
Compte tenu du coût élevé des temps d’arrêt de la production, les attaquants utilisent souvent des ransomwares et des logiciels malveillants d’essuie-glace pour extorquer les paiements ou paralyser les installations de fabrication. Cela peut être dans le but de raccourcir les infrastructures critiques ou simplement pour extorquer les entreprises d’une valeur de millions d’argent.
Comment les entreprises semi-conducteurs sont ciblées sur le DarkNet
Les acteurs de la menace peuvent utiliser plusieurs tactiques pour infiltrer les sociétés de semi-conducteurs et leurs chaînes d’approvisionnement. Certaines de leurs activités se déroulent sur le Web Dark.
Marchés DarkNet pour les données volées et l’accès initial
Les forums Darknet tels que RAMP, Genesis Market (avant le retrait) et BreachForums peuvent offrir des références compromises, des jetons de session et des méthodes de contournement de MFA pour les employés du secteur des semi-conducteurs. Les acteurs de la menace offriront ces titres de compétences à vendre aux plus haut soumissionnaires. Ils sont souvent connus comme des courtiers d’accès initiaux. (IAB)
Les courtiers d’accès initiaux (IAB) vendent souvent des informations d’identification pré-compromises RDP, VPN et Citrix, permettant aux groupes de ransomware de prendre pied dans les réseaux d’entreprise.
Ransomware Attaque contre les fabricants de semi-conducteurs
Les sociétés de semi-conducteurs ne sont pas à l’abri des attaques de ransomwares, car peu d’organisations sont ces jours-ci. En fait, ils peuvent apparaître comme des cibles séduisantes en raison de la valeur des organisations et de la technologie dans laquelle ils traitent. Comme pour toute autre attaque de ransomware, les informations relatives à l’organisation sont exfiltrées, qui peuvent inclure une gamme de types de documents, dans ce cas, y compris les conceptions sensibles des semi-conducteurs et menacer de les fuir à moins qu’une rançonnerie ne soit payée. Des groupes de ransomwares tels que Lockbit, BlackCat (ALPHV) et Ransomexx ont été observés ciblant les sociétés de semi-conducteurs.
Exploits et marchés de vulnérabilité zéro-jour
Une vulnérabilité zéro-jour est un défaut de sécurité dans les logiciels ou le matériel qui est au propriétaire de la technologie et n’a donc pas de correctif ni de correctif disponible au moment de sa découverte. Les vulnérabilités zéro-day dans les bandes d’outils ICS / SCADA, le micrologiciel et les puces peuvent être vendues sur Darknet et dans les canaux télégrammes privés. Ceci est très rare et ces types de vulnérabilités valent une énorme somme d’argent, en particulier lors du ciblage des infrastructures critiques.
Cependant, les vulnérabilités du micrologiciel dans les équipements de fabrication de semi-conducteurs, en particulier les systèmes de lithographie ASML et les architectures basées sur les bras, sont connues pour avoir été exploitées dans des attaques ciblées.
Infiltration de la chaîne d’approvisionnement et attaques au niveau du matériel
Les chercheurs de menaces ont identifié des cas où les adversaires intégrent le firmware malveillant dans les puces avant le déploiement. Cela a été une préoccupation majeure pour les secteurs d’infrastructures critiques qui pourraient compter sur des composants semi-conducteurs compromis. Les attaquants sont également connus pour compromettre les outils EDA (Automation de conception électronique) et les logiciels de fabrication de semi-conducteurs, injectant les dérives dans les puces fabriquées.
Recrutement Darknet et vol d’identification
Des forums DarkNet ont été observés offrant un paiement en crypto-monnaie pour l’accès aux initiés ou les fuites de données au sein des entreprises semi-conductrices. La fuite de données et les logiciels malveillants d’infostaler comme Redline, Stealc, Raccoon, etc. sont largement utilisés pour récolter des informations d’identification qui sont revendus et peuvent être utilisées pour le ciblage de la chaîne d’approvisionnement ou pour cibler les employés des sociétés de semi-conducteurs elles-mêmes.
Attaques du monde réel contre les sociétés semi-conductrices
Plusieurs sociétés de semi-conducteurs ont subi des cyberattaques de haut niveau ces dernières années, renforçant l’urgence de la surveillance des menaces DarkNet.
- Nvidia Breach (2022) – Groupe lapsus $
- Des conceptions de GPU propriétaires volées et des références des employés.
- Les attaquants ont divulgué des certificats de signature de code, permettant le développement de conducteur malveillant.
- Attaque des ransomwares de la chaîne d’approvisionnement TSMC (2023)
- Un fournisseur tiers a été compromis par les ransomwares de verrouillage, exposant des données commerciales sensibles.
- Les attaquants ont exigé une rançon de 70 millions de dollars.
- Fuites du micrologiciel Intel & AMD
- Documentation en ingénierie et clés de signature du micrologiciel Fellées sur des forums souterrains.
- Exploité pour les attaques RootKit au niveau du BIOS et du micrologiciel.
Stratégies pour atténuer les menaces DarkNet
Les sociétés de semi-conducteurs ont besoin de mesures de cybersécurité proactives pour atténuer les menaces axées sur les Darknet. Ces sociétés et leurs partenaires devraient surveiller le DarkNet pour suivre les mentions des actifs de l’entreprise, voler des informations d’identification et exploiter les bavardages. Ils devraient également surveiller activement les courtiers d’accès initiaux, les sites de fuite de ransomware et les forums privés pour les premiers indicateurs de compromis. Les données de Illicit Trade FR peuvent aider à effectuer cette surveillance et à alerter les menaces identifiées.
Conclusion
Alors que les entreprises de semi-conducteurs continuent de stimuler les progrès technologiques, ils resteront des cibles de haut niveau pour les cybercriminels DarkNet et les attaquants parrainés par l’État. Une approche de sécurité multicouche, incorporant la surveillance de DarkNet, le contrôle d’accès, la sécurité de la chaîne d’approvisionnement et la chasse aux menaces proactives, est cruciale pour atténuer les cyber-menaces évolutives.
En comprenant comment les attaquants opèrent sur le DarkNet, les sociétés de semi-conducteurs peuvent rester en avance sur les menaces, sauvegarder la propriété intellectuelle et assurer la continuité des activités dans un cyber-paysage de plus en plus hostile.
