La CISA (Cybersecurity and Infrastructure Security Agency), le FBI (Federal Bureau of Investigation) et le DOE (Department of Energy) des États-Unis ont publié un avis conjoint de cybersécurité (Cybersecurity Advisory, CSA) sur deux campagnes d'intrusion menées entre 2016 et 2018 par des cyberacteurs russes soutenus par l'État contre des entreprises américaines et internationales du secteur de l'énergie. L’avis met en évidence les tactiques, techniques et procédures (TTP) utilisées pendant cette période par les attaquants. Il met également en garde contre la menace permanente que représentent ces cyber-opérations russes parrainées par l'État pour les réseaux du secteur de l'énergie des États-Unis et définit les meilleures pratiques pour sécuriser les systèmes de contrôle industriel (ICS), en recommandant des mesures d'atténuation destinées à durcir les réseaux des entreprises.
Quatre employés du gouvernement russe inculpés pour piratage
Le 24 mars 2022, le Département américain de la Justice (Department of Justice, DoJ) a dévoilé les actes d'accusation de trois agents du FSB et d'un employé de l'Institut central de recherche scientifique sur la chimie et la mécanique (TsNIIKhM) de la Fédération de Russie pour leur implication dans des campagnes d'intrusion contre des raffineries de pétrole internationales, des installations nucléaires et des fournisseurs d'énergie. La première concerne une campagne en plusieurs étapes menée par le FSB, au cours de laquelle les agents mis en cause ont obtenu un accès à distance à des réseaux américains et internationaux du secteur de l'énergie. Ils ont ensuite déployé des logiciels malveillants ciblant des systèmes de contrôle industriel, puis collecté et exfiltré des données d'entreprise et des données liées aux ICS, indique l’avis de cybersécurité. « L'un des agents du FSB inculpé a participé à une campagne de déploiement du malware Havex sur les réseaux des victimes. Les deux autres agents du FSB inculpés ont été impliqués dans des activités ciblant les réseaux du secteur énergétique américain de 2016 à 2018 », indique encore l’avis de cybersécurité.
La seconde campagne concerne la compromission d'une entreprise du secteur de l'énergie basée au Moyen-Orient avec le malware Triton en 2017. « Les cyberacteurs russes ayant des liens avec l'Institut central de recherche scientifique sur la chimie et la mécanique TsNIIKhM ont eu accès au malware Triton (également connu sous le nom de HatMan) et l'ont exploité pour manipuler les contrôleurs ICS d'une raffinerie de pétrole étrangère. Conçu pour cibler les systèmes de sécurité Triconex Tricon de Schneider Electric, Triton est capable de perturber ces systèmes. Schneider Electric a publié un correctif pour atténuer le risque lié au vecteur d'attaque du malware Triton. Cependant, les administrateurs du réseau doivent installer le patch et rester vigilants face aux TTP de ces pirates ». TsNIIKhM a été accusé d'avoir tenté d'accéder à des réseaux informatiques protégés des États-Unis et de causer des dommages à une installation énergétique. Il a également participé au déploiement du logiciel malveillant Triton en 2017 », poursuit l’avis de cybersécurité.
Les campagnes d’origine russe, une menace persistante
D’après les évaluations de la CISA, du FBI et du DOE, les cyber-opérations russes parrainées par l'État représentent toujours une menace pour les réseaux du secteur de l'énergie aux États-Unis. C’est pourquoi, ils exhortent les entreprises propriétaires d'infrastructures critiques à appliquer les recommandations destinées à réduire le risque de compromission. « Ces mesures d'atténuation sont adaptées pour combattre les multiples techniques d'entreprise observées dans ces campagnes », ajoute l'avis.
Les recommandations sont les suivantes :
- Gestion des comptes à priviléges : Gérer la création, la modification, l'utilisation - et les autorisations associées - des comptes privilégiés, y compris les comptes système et root.
- Politiques de mot de passe : Définir et appliquer des politiques de mots de passe sécurisés pour les comptes.
- Désactivation ou suppression de fonctions ou de programmes : supprimer ou refuser l'accès aux logiciels inutiles et potentiellement vulnérables afin d'éviter les abus par des adversaires.
- Audit : effectuer des audits ou des analyses des systèmes, des autorisations, des logiciels non sécurisés, des configurations non sécurisées, etc. pour identifier les faiblesses potentielles.
- Configuration du système d'exploitation : effectuer des changements de configuration liés au système d'exploitation ou à une fonctionnalité commune du système d'exploitation pouvant durcir le système contre ces techniques.
- Authentification multifactorielle (MFA) : appliquer l'authentification multifactorielle en exigeant des utilisateurs qu'ils fournissent deux ou plusieurs éléments d'information (comme le nom d'utilisateur et le mot de passe plus un jeton, par exemple une carte à puce physique ou un générateur de jetons) pour s'authentifier auprès d'un système.
- Filtrage du trafic réseau : utiliser des appareils réseau pour filtrer le trafic entrant ou sortant et effectuer un filtrage basé sur les protocoles. Configurer un logiciel sur les terminaux pour filtrer le trafic réseau.
- Segmentation du réseau : créer des sections du réseau pour isoler les systèmes, fonctions ou ressources critiques. Utiliser la segmentation physique et logique pour empêcher l'accès aux systèmes et aux informations potentiellement sensibles. Utiliser une zone démilitarisée (DMZ) pour contenir tous les services orientés vers l'Internet qui ne doivent pas être exposés depuis le réseau interne.
- Limitation de l'accès aux ressources sur le réseau : empêcher l'accès aux partages de fichiers, l'accès à distance aux systèmes et les services inutiles. Les mécanismes permettant de limiter l'accès peuvent inclure l'utilisation de concentrateurs de réseau, de passerelles RDP (Remote Desktop Protocol), etc.
- Prévention de l'exécution : bloquer l'exécution de code sur un système par un contrôle des applications ou un blocage des scripts.
L'avis conseille également aux entreprises de mettre en œuvre une segmentation robuste du réseau, des réseaux locaux virtuels (VLAN) et une sécurité périmétrique pour renforcer leurs environnements ICS/OT. La mise à jour des logiciels, le test des correctifs, l'utilisation de listes d'autorisations d'applications, le remplacement des logiciels et du matériel en fin de vie, la désactivation des ports et des services inutilisés, la configuration du cryptage et de la sécurité des protocoles réseau et le maintien d'un inventaire de tous les matériels, logiciels et technologies d'infrastructure figurent parmi les autres recommandations de meilleures pratiques pour sécuriser les systèmes de contrôle industriel (ICS).