Les acteurs de la menace ont développé des modules personnalisés pour compromettre divers appareils ICS ainsi que les postes de travail Windows qui constituent une menace imminente, en particulier pour les fournisseurs d'énergie.
Les acteurs de la menace ont construit et sont prêts à déployer des outils capables de prendre en charge un certain nombre de dispositifs de système de contrôle industriel (ICS) largement utilisés, ce qui pose problème aux fournisseurs d'infrastructures critiques, en particulier ceux du secteur de l'énergie, ont averti les agences fédérales.
In un avis conjoint, le ministère de l'Énergie (DoE), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le FBI avertissent que "certains acteurs de la menace persistante avancée (APT)" ont déjà démontré leur capacité "à obtenir pleinement accès système à plusieurs dispositifs de système de contrôle industriel (ICS)/contrôle de supervision et d'acquisition de données (SCADA) », selon l'alerte.
Les outils sur mesure développés par les APT leur permettent, une fois qu'ils ont eu accès au réseau de technologie opérationnelle (OT), de rechercher, de compromettre et de contrôler les appareils concernés, selon les agences. Cela peut conduire à un certain nombre d'actions néfastes, notamment l'élévation des privilèges, le mouvement latéral dans un environnement OT et la perturbation d'appareils ou de fonctions critiques, ont-ils déclaré.
Les appareils à risque sont : les contrôleurs logiques programmables (API) Schneider Electric MODICON et MODICON Nano, y compris (mais sans s'y limiter) TM251, TM241, M258, M238, LMC058 et LMC078 ; API OMRON Sysmac NEX ; et les serveurs OPC UA (Open Platform Communications Unified Architecture), ont indiqué les agences.
Les APT peuvent également compromettre les postes de travail d'ingénierie basés sur Windows qui sont présents dans les environnements informatiques ou OT en utilisant un exploit pour une vulnérabilité connue dans un ASRock carte mère conducteur, disaient-ils.
L'avertissement doit être pris en compte
Bien que les agences fédérales publient souvent des avis sur les cybermenaces, un professionnel de la sécurité a exhorté fournisseurs d'infrastructures critiques ne pas prendre cet avertissement particulier à la légère.
"Ne vous y trompez pas, il s'agit d'une alerte importante de la CISA", a observé Tim Erlin, vice-président de la stratégie chez Tripwire, dans un e-mail à Threatpost. "Les organisations industrielles devraient prêter attention à cette menace."
Il a noté que si l'alerte elle-même se concentre sur les outils permettant d'accéder à des dispositifs ICS spécifiques, la situation dans son ensemble est que l'ensemble de l'environnement de contrôle industriel est menacé une fois qu'un acteur de la menace prend pied.
"Les attaquants ont besoin d'un point de compromis initial pour accéder aux systèmes de contrôle industriels impliqués, et les organisations doivent construire leurs défenses en conséquence", a conseillé Erlin.
Ensemble d'outils modulaires
Les agences ont fourni une ventilation des outils modulaires développés par les APT qui leur permettent de mener "des exploits hautement automatisés contre des appareils ciblés", ont-ils déclaré.
Ils ont décrit les outils comme ayant une console virtuelle avec une interface de commande qui reflète l'interface du périphérique ICS/SCADA ciblé. Les modules interagissent avec les appareils ciblés, donnant même aux acteurs de la menace les moins qualifiés la possibilité d'émuler des capacités plus qualifiées, ont averti les agences.
Les actions que les APT peuvent entreprendre à l'aide des modules incluent : la recherche d'appareils ciblés, la reconnaissance des détails de l'appareil, le téléchargement de la configuration/du code malveillant sur l'appareil ciblé, la sauvegarde ou la restauration du contenu de l'appareil et la modification des paramètres de l'appareil.
De plus, les acteurs APT peuvent utiliser un outil qui installe et exploite une vulnérabilité dans le pilote de carte mère ASRock AsrDrv103.sys suivi comme CVE-2020-15368. La faille permet l'exécution de code malveillant dans le noyau Windows, facilitant le déplacement latéral d'un environnement informatique ou OT ainsi que la perturbation d'appareils ou de fonctions critiques.
Ciblage d'appareils spécifiques
Les acteurs ont également des modules spécifiques pour attaquer les autres Appareils ICS. Le module pour Schneider Electric interagit avec les appareils via les protocoles de gestion normaux et Modbus (TCP 502).
Ce module peut permettre aux acteurs d'effectuer diverses actions malveillantes, y compris l'exécution d'une analyse rapide pour identifier tous les automates Schneider sur le réseau local ; forcer brutalement les mots de passe PLC ; mener une attaque par déni de service (DoS) pour empêcher l'automate de recevoir des communications réseau ; ou mener une attaque "paquet de la mort" pour planter l'automate, entre autres, selon l'avis.
D'autres modules de l'outil APT ciblent les appareils OMRON et peuvent les rechercher sur le réseau ainsi que d'autres fonctions compromettantes, ont déclaré les agences.
De plus, les modules OMRON peuvent télécharger un agent qui permet à un auteur de menace de se connecter et de lancer des commandes, telles que la manipulation de fichiers, les captures de paquets et l'exécution de code, via HTTP et/ou HTTPS (Hypertext Transfer Protocol Secure), selon l'alerte.
Enfin, un module qui permet de compromettre les appareils OPC UA comprend des fonctionnalités de base pour identifier les serveurs OPC UA et se connecter à un serveur OPC UA en utilisant des informations d'identification par défaut ou précédemment compromises, ont averti les agences.
Atténuations recommandées
Les agences ont proposé une longue liste de mesures d'atténuation pour les fournisseurs d'infrastructures critiques afin d'éviter la compromission de leurs systèmes par les outils APT.
"Ce n'est pas aussi simple que d'appliquer un patch", a noté Erwin de Tripwire. Dans la liste, il a cité l'isolement des systèmes affectés ; utiliser la détection des terminaux, la configuration et la surveillance de l'intégrité ; et l'analyse des journaux en tant qu'actions clés que les organisations doivent prendre immédiatement pour protéger leurs systèmes.
Le gouvernement fédéral a également recommandé aux fournisseurs d'infrastructures critiques de disposer d'un plan de réponse aux cyberincidents que toutes les parties prenantes de l'informatique, de la cybersécurité et des opérations connaissent et peuvent mettre en œuvre rapidement si nécessaire, ainsi que de maintenir des sauvegardes hors ligne valides pour une récupération plus rapide en cas d'attaque perturbatrice, entre autres mesures d'atténuation. .
Passer au cloud ? Découvrez les menaces émergentes pour la sécurité du cloud ainsi que des conseils solides sur la façon de défendre vos actifs avec notre Livre électronique téléchargeable GRATUITEMENT, "Sécurité du cloud : les prévisions pour 2022". Nous explorons les principaux risques et défis des organisations, les meilleures pratiques de défense et des conseils pour réussir la sécurité dans un environnement informatique aussi dynamique, y compris des listes de contrôle pratiques.
- blockchain
- cognitif
- Infrastructure critique
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
- zéphyrnet
