Les chercheurs ont mis en place un pot de miel pour surveiller ce que les cybercriminels font lorsqu’ils ciblent des environnements industriels – et ont constaté que les pirates informatiques s’en prenaient aux usines en grand nombre.
Les pirates malveillants ciblent les usines et les environnements industriels avec une grande variété de logiciels malveillants et de cyberattaques, y compris les ransomwares, les mineurs de crypto-monnaie – et dans certains cas, ils cherchent activement à arrêter ou à perturber les systèmes.
Tous ces incidents ont été repérés par des chercheurs de la société de cybersécurité Trend Micro qui ont construit un pot de miel qui imite l’environnement d’une véritable usine. La fausse usine comportait certaines vulnérabilités de cybersécurité courantes pour la rendre attrayante pour les pirates informatiques à découvrir et à cibler.
Pour aider à rendre le pot de miel aussi convaincant que possible, les chercheurs ont lié les ordinateurs de bureau, les réseaux et les serveurs à une fausse entreprise qu’ils ont appelée MeTech et ont créé un site Web détaillant comment le fabricant a servi les clients dans les secteurs de haute technologie, y compris la défense et l’aérospatiale – cibles populaires pour le piratage.
Le site Web a même présenté des images et des biographies de personnes qui auraient travaillé pour la fausse marque, avec portaits générés par l’intelligence artificielle afin de faire en sorte que le pot de miel ressemble autant à une entreprise légitime que possible.
Trend Micro a lancé le pot de miel en mai de l’année dernière, en le mettant délibérément en place avec des faiblesses comme Virtual Network Computing (VNC) sans contrôle d’accès, des ports de bureau à distance non sécurisés orientés vers l’extérieur et en utilisant le même mot de passe pour les postes de travail sur le réseau.
Pour attirer davantage les pirates potentiels vers les systèmes en ligne exposés, les chercheurs ont «divulgué» des informations sur les vulnérabilités des systèmes. Et il n’a pas fallu longtemps pour que les cybercriminels soient attirés par le pot de miel MeTech et tentent de l’infiltrer.
Quelques semaines après la mise en ligne du pot de miel, un attaquant s’est frayé un chemin dans le réseau et a installé un logiciel malveillant d’extraction de crypto-monnaie dans le but d’exploiter les ressources de la fausse usine pour générer du Bitcoin. Les chercheurs notent que cet attaquant est retourné à plusieurs reprises dans le système pour relancer le mineur au cours de la vie du pot de miel.
Alors que de plus en plus de cybercriminels et de pirates informatiques ont découvert le pot de miel – sous l’impression qu’il s’agissait d’un environnement industriel pleinement opérationnel – les chercheurs ont vu les attaques déployées devenir plus avancées.
Un certain nombre d’attaquants ont effectué des reconnaissances sur le réseau, probablement dans le but de voir ce qui pourrait être pris en charge ou de découvrir des données sensibles à voler. Certains de ces attaquants sont même allés jusqu’à entrer des commandes pour arrêter des systèmes, ce qui aurait pu avoir un impact important dans un véritable environnement d’usine intelligente. Des attaques d’arrêt se sont produites à plusieurs reprises pendant la durée du pot de miel.
En septembre, le pot de miel suscitait un grand intérêt de la part de pirates malveillants et MeTech a été ciblé par une attaque de ransomware qui a permis aux chercheurs de surveiller le déroulement d’un tel incident.
Cela a commencé avec un attaquant enquêtant sur les systèmes et effectuant des reconnaissances à travers le réseau dans le but de découvrir ce à quoi ils avaient affaire. Ensuite, en utilisant des fonctions de bureau à distance et l’accès à TeamViewer, cet attaquant a déployé une variante du rançongiciel Crysis sur le réseau, exigeant 10 000 $ en Bitcoin pour décrypter le réseau.
Sous le couvert d’un employé de MeTech, les chercheurs ont en fait fait des allers-retours par e-mail avec l’attaquant – qui a finalement baissé la demande à 6000 $. Cependant, la rançon n’a pas été payée, car une fois qu’ils ont fini de communiquer avec l’attaquant, les chercheurs ont réinitialisé le système, le ramenant à son état d’origine.
Mais ce n’était pas la seule campagne de ransomware attirée par le pot de miel; en octobre, les pirates ont de nouveau fouillé le réseau avant de déployer le rançongiciel Phobos, qui a été supprimé lors de la réinitialisation des systèmes.
Quelques semaines après cela, le pot de miel a également attiré une attaque de ransomware beaucoup moins sophistiquée d’un pirate qui, selon les chercheurs de Trend Micro, « a tâtonné notre système en essayant de faire fonctionner une commande PowerShell ».
Cet attaquant a finalement déployé une fausse attaque de ransomware où il vient de changer les noms des fichiers et a demandé quelques centaines de dollars pour « décrypter » les fichiers modifiés via une note laissée sur un arrière-plan de bureau modifié. Cet attaquant a apparemment abandonné quelques jours plus tard, ouvrant divers sites Web pour adultes sur le navigateur avant de quitter le système.
D’autres pirates ont fait preuve de plus de sophistication que cela, prenant du temps sur les systèmes de numérisation conçus pour ressembler à des systèmes de contrôle industriels, et dans un cas, même accéder à un poste de travail connecté à ce qui ressemblait aux systèmes robotiques de MeTech. Dans un environnement réel, ce niveau d’accès pourrait potentiellement entraîner une perturbation physique des environnements d’usine.
Le pot de miel a été fermé en décembre après avoir donné aux chercheurs un aperçu du fonctionnement des cybercriminels dans des environnements industriels et industriels présentant des failles de sécurité communes. Et dans ce cas, ce sont des cybercriminels communs, et non des groupes de piratage soutenus par l’État-nation, qui ont altéré les systèmes.
« Les propriétaires de petites usines et d’installations industrielles ne devraient donc pas supposer que les criminels les laisseront tranquilles. Un manque de protections de base peut ouvrir la porte à un ransomware ou à une attaque de cryptojacking relativement simple qui pourrait avoir de graves conséquences pour les résultats », a déclaré Greg Young, vice-président de la cybersécurité pour Trend Micro.
Afin de se protéger contre les cybercriminels et les pirates, les chercheurs recommandent que les environnements industriels disposent du nombre minimum de ports ouverts face à Internet et que les politiques de contrôle d’accès soient renforcées avec des mots de passe uniques et forts pour chaque système. L’authentification à deux facteurs peut également aider à empêcher les attaquants d’accéder aux environnements.
Les experts en sécurité recommandent également que les systèmes soient régulièrement mis à jour avec les correctifs de sécurité appropriés afin de garantir que les cybercriminels ne puissent pas tirer parti des vulnérabilités connues pour accéder aux réseaux.