Les réseaux de technologie opérationnelle et les systèmes de contrôle industriel constatent une activité malveillante accrue, car les organisations industrielles traitent également d’une forte augmentation des attaques de ransomwares.
Les attaques contre les réseaux de technologies opérationnelles (OT) sont en augmentation, alimentées par des tensions et des conflits géopolitiques, car la sécurité OT devient rapidement une préoccupation générale.
Deux nouveaux groupes de menaces ont émergé en 2024, rejoignant sept autres attaquants actifs de systèmes OT, et deux nouvelles familles de logiciels malveillants ciblant également les systèmes de contrôle industriel (ICS) ont également été ajoutés aux arsenaux des attaquants, selon des chercheurs de Dragos.
« Une tendance frappante en 2024 a été la baisse continue de la barrière à l’entrée pour les adversaires ciblant OT / ICS », ont écrit des chercheurs de la société de sécurité industrielle dans leur rapport annuel. «Les adversaires qui n’auraient pas été conscients ou ignorés OT / ICS auraient entièrement été entièrement considérés comme un vecteur d’attaque efficace pour obtenir des perturbations et de l’attention.»
En plus des menaces de logiciels malveillants spécifiques aux circuits intégrés, les organisations industrielles, en particulier celles du secteur manufacturier, font également face à une forte augmentation des attaques de ransomwares. Le nombre d’attaques de ransomwares ciblant les propriétaires d’actifs OT / ICS a augmenté de 87% en 2024 et le nombre de groupes allant après que ces objectifs ont augmenté de 60%.
Le nouveau groupe iranien gagne une capacité de ciblage ICS
Dragos suit 23 groupes de menaces qui ont ciblé les réseaux OT dans le but de collecter des informations ou de manipuler les systèmes de contrôle industriel. Les capacités de chaque groupe sont décomposées en deux étapes de la chaîne ICS Cyber Kill.
Dragos a vu l’activité de neuf de ces 23 groupes l’année dernière, dont deux étaient nouvelles et une dont les ICS ont cyber-tuer les capacités de la chaîne 2. Suivi sous la bauxite alias, le groupe se chevauche avec CyberAV3NGERS, un personnage hacktiviste que le gouvernement américain a précédemment attribué à une unité à l’intérieur du Corps de la Garde révolutionnaire islamique de l’Iran (IRGC).
Entre novembre 2023 et janvier 2024, la bauxite a compromis les contrôleurs logiques programmables (PLC) de l’unité israélienne et de la série de vision qui ont été exposés à Internet. Ces PLC appartenaient à plus de 100 organisations, notamment les sociétés de gestion des eaux et des eaux usées.
« L’adversaire est capable de télécharger la logique de ces contrôleurs, ce qui provoque un équivalent de déni de service (DOS) pour exécuter une attaque ICS », ont écrit les chercheurs de Dragos.
Tout au long de 2024, le groupe a également ciblé des pare-feu Sophos et effectué une numérisation de port sur plusieurs actifs OT / ICS, y compris les appareils Siemens S7, les appareils d’automatisation CIMON, les appareils exécutant le serveur OPC Unified Architecture (OPC / UA), le service de réseau d’interface d’usine OMRON (FINS), et les appareils exécutant des codesys. Ces protocoles sont également ciblés par PipeDream ou Inconstroller, une pièce de logiciels malveillants ICS découverte en 2022 et attribuée à un groupe baptisé Chernovite.
À la fin de 2024, Bauxite a également réussi à compromettre plus de 400 appareils Global OT / ICS et pare-feu, déployant une porte dérobée Linux sur mesure appelée Iocontrol.
Nouveau groupe russe axé sur l’Ukraine
Le deuxième nouveau groupe à lancer des campagnes d’attaque contre les organisations industrielles l’année dernière, surnommée Graphite, se chevauche avec les activités APT28. Également connu sous le nom de Fancy Bear ou Pawn Storm, l’APT28 serait une unité à l’intérieur de la Direction générale du renseignement (GRU) de la Russie.
Le graphite a lancé des campagnes de phishing constantes contre des entités hydroélectriques, énergétiques et gouvernementales en Europe de l’Est et au Moyen-Orient. Le groupe exploite les vulnérabilités connues pour déployer des logiciels malveillants qui volent les informations d’identification, et bien qu’il n’ait pas encore affiché des capacités ICS Cyber Kill Stage 2, d’autres groupes liés au gouvernement russe et GRU ont cette capacité, par exemple l’électrum, également connu sous le nom de Sandworm.
Nouveau logiciel malveillant ICS utilisé dans le conflit ukrainien
Les groupes russes ont lancé plusieurs attaques confirmées contre les OT / ICS contre les organisations ukrainiennes ces dernières années, avant même le début de la guerre, entraînant des pannes de pouvoir et des délais.
Une de ces attaques s’est produite en janvier 2024 et a impliqué une partie de malware appelé FrostyGoop. L’attaque a entraîné des pannes de chauffage pour plus de 600 immeubles d’appartements dans la ville ukrainienne de Lviv au milieu de l’hiver pendant les températures de congélation.
FrostyGoop a ciblé les contrôleurs ENCO sur le protocole MODBUS, mais les chercheurs de Dragos ont déclaré que ses capacités ne se limitent pas aux appareils ENCO et pourraient également interagir avec les PLC, les CD, les capteurs, les actionneurs et les dispositifs de terrain.
Les groupes affiliés à l’Ukraine ont répondu avec leurs propres attaques. En avril 2024, un groupe hacktiviste surnommé Blackjack a violé Moskollektor, une organisation municipale de Moscou en charge du système de communication pour les réseaux de gaz, d’eau et d’égouts. Le groupe a affirmé qu’il a perturbé les communications à des milliers de capteurs industriels.
Les chercheurs ont établi qu’un nouveau logiciel malveillant appelé FUXNET a été utilisé, ce qui en fait la huitième famille de logiciels malveillants spécifique à ICS connue jamais découverte. Le logiciel malveillant submerge les capteurs en envoyant un flot de demandes de mètres-bus. Le compteur est un protocole pour lire les données des compteurs d’eau, de gaz et d’électricité. De plus, FUXNET dispose également d’un composant d’essuie-glace Linux qui essuie le système de fichiers des passerelles de capteurs.
« L’attaque contre Moskollektor souligne la normalisation des attaques contre des dispositifs industriels par des groupes entraînés par des conflits géopolitiques », ont écrit les chercheurs. « Fuxnet était très adapté à Moskollektor et il est peu probable qu’il soit utilisé dans un autre environnement industriel sans modifications significatives de la base de code. »
Un quart des vulnérabilités étaient exploitables au périmètre du réseau
L’année dernière, Dragos a examiné 606 avis de vulnérabilité publique pour les appareils ICS et a appliqué son propre cadre de priorisation de correctifs qui divise les vulnérabilités dans les catégories: maintenant, suivant et jamais. Six pour cent des défauts sont tombés dans la catégorie Patch-Now, étant à distance exploitable sans authentification et ont été activement exploités ou ont eu des exploits de preuve de concept. 63% supplémentaires ont été placés dans la catégorie Patch-Next car ils pouvaient être atténués avec l’hygiène du réseau et la segmentation.
Dans l’ensemble, 22% des vulnérabilités étaient à la fois exploitables sur le réseau et situées dans des appareils de périmètre de réseau, ce qui signifie qu’ils pourraient plus facilement être ciblés par les attaquants sur Internet. Il s’agissait d’une augmentation de 16% en 2023.
Le correctif des appareils ICS n’est pas toujours facile ou rapide car ces appareils gèrent souvent les processus critiques, ils nécessitent donc des fenêtres d’arrêt et de maintenance planifiées. En tant que tel, l’atténuation est souvent préférée aux correctifs dans de nombreux cas. Malheureusement, 57% des avis qui ont fourni des correctifs n’offraient aucune atténuation alternative et 18% des avis n’offraient aucun patch ni atténuation.
« Les adversaires ne sont pas seulement testés des réseaux OT – ils s’intégrent activement dans les infrastructures critiques, le positionnement pour l’accès à long terme, les perturbations opérationnelles et les conséquences potentielles à grande échelle », ont écrit les chercheurs. «Le temps pour la sécurité réactive est terminé. Les défenseurs doivent s’orienter vers une surveillance continue, une chasse proactive aux menaces et des capacités de réponse aux incidents adaptées aux environnements OT. »
