Narong Jongsirikul - Fotolia
Energie : les infrastructures britanniques et irlandaises également visées
Les opérations visant les opérateurs d’infrastructures liées au secteur de l’énergie semblent se multiplier, entre tentative de collecte d’identifiants utilisateur et de distribution de code malveillant.
Selon le Times, des attaquants tentent de prendre pieds sur les systèmes de contrôle (ICS) du secteur irlandais de l’énergie. Le mode opératoire est connu : hameçonnage ciblé. Nos confrères attribuent l’opération à des pirates « soutenus par le gouvernement russe ». Citant des « analystes surveillant les groupes de cyber-renseignement de la Russie », ils indiquent que les attaquants « ont probablement volé des informations, dont des mots de passe ». L’administration locale en charge de la sécurité des systèmes d’information s’est saisie de l’affaire.
Le centre national britannique de cybersécurité (NCSC), rattaché au GCHQ, le service de renseignement du Royaume-Uni, a parallèlement lancé l’alerte. Dans un document que nos confrères de Motherboard ont pu consulter, le NCSC explique ainsi avoir connaissance « de connexions à partir de multiples adresses IP au Royaume-Uni vers des infrastructures associées avec des acteurs hostiles avancés, soutenus par un état, connus pour viser les secteurs de l’énergie et de la manufacture ». Pire, selon ce document, le NCSC estime que organisations faisait partie de la chaîne logistique des opérateurs d’infrastructures critiques du pays « ont probablement été compromises ».
Fin juin, le FBI et le ministère américain de l’intérieur, le DHS, ont alerté les énergéticiens des Etats-Unis sur des tentatives d’intrusion dans les systèmes informatiques de « multiples sites de production électrique nucléaire cette année ».
Dans un billet de blog, les équipes de Talos, chez Cisco, détaillaient alors des tentatives de phishing semblant liées, même si elles se gardaient de faire explicitement le lien : « depuis au moins mai 2017, Talos a observé des attaquants visant les entreprises de l’énergie et des infrastructures critiques à travers le monde, principalement en Europe et aux Etats-Unis ».
Récemment, Eset et Dragos se sont penchés sur un nouveau framework de logiciels malveillants apparemment conçu spécifiquement pour affecter les réseaux de distribution d’électricité, Industroyer/CrashOverride. Très modulaire, il pourrait être adapté rapidement pour supporter de nouveaux protocoles ICS/Scada. Selon Dragos, ce framework a déjà utilisé, fin décembre dernier, en Ukraine, et serait opéré par un groupe aux liens directs avec l’équipe Sandworm à l’origine de BlackEnergy. Eset prévoit de revenir sur Industroyer à l’occasion de la conférence Black Hat qui se déroulera fin juillet à Las Vegas.