Le gouvernement américain avertit que des hacktivistes pro-russes recherchent et piratent des systèmes de technologie opérationnelle (OT) non sécurisés utilisés pour perturber les opérations des infrastructures critiques.

L’avis conjoint provient de six agences gouvernementales américaines, dont la CISA, le FBI, la NSA, l’EPA, le DOE, l’USDA et la FDA, ainsi que le Centre multi-États de partage et d’analyse de l’information (MS-ISAC), le Centre canadien pour la cybersécurité (CCCS) et le Centre national de cybersécurité du Royaume-Uni (NCSC-UK).

Les appareils OT sont une combinaison de plates-formes matérielles et logicielles utilisées pour surveiller et contrôler les processus ou activités physiques dans la fabrication, les infrastructures critiques et d’autres industries. Par exemple, les usines de traitement de l’eau utilisent des dispositifs OT pour gérer le traitement, la distribution et la pression de l’eau afin de fournir un approvisionnement en eau continu et sûr.

Dans un avis publié aujourd’hui, le gouvernement américain avertit que les hacktivistes pro-russes ciblent les appareils OT non sécurisés et mal configurés depuis 2022 pour perturber les opérations ou créer des « effets de nuisance ». »

« L’activité hacktiviste pro-russe contre ces secteurs semble principalement limitée à des techniques peu sophistiquées qui manipulent les équipements ICS pour créer des effets de nuisance », lit – on dans l’avis conjoint.

« Cependant, des enquêtes ont identifié que ces acteurs sont capables de techniques qui posent des menaces physiques contre des environnements OT non sécurisés et mal configurés. »

Le gouvernement affirme que de nombreuses attaques sont surexagérées, mais certaines attaques récentes en 2024 ont entraîné un peu plus de perturbations.

Un groupe d’hacktivistes pro-russes connu sous le nom de Cyber Army of Russia a affirmé être à l’origine d’attaques contre des usines de traitement et de traitement des eaux du Texas et de l’Indiana, ainsi que des infrastructures hydrauliques en Pologne et en France.

Alors que l’installation d’eau du Texas a confirmé qu’une attaque avait provoqué le débordement d’un réservoir, l’usine de traitement des eaux usées de l’Indiana a déclaré à CNN qu’elle avait été ciblée mais pas violée.

Alors que la Cyber Army et d’autres groupes prétendent être des hacktivistes, un récent rapport de Mandiant a lié le groupe aux hackers Sandworm, un acteur de menace persistant avancé suivi sous le nom d’APT44 et lié à la Direction principale du renseignement de Russie (GRU), l’agence de renseignement militaire étrangère du pays.

Atténuer les attaques sur les appareils OT
L’avis avertit que les agences gouvernementales ont vu ces hacktivistes cibler les appareils OT à travers différentes techniques, principalement en utilisant VNC:

  • Utilisation du protocole VNC pour accéder aux interfaces homme-machine (IHM) et apporter des modifications à l’OT sous-jacent. VNC est utilisé pour l’accès à distance aux interfaces utilisateur graphiques, y compris les IHM qui contrôlent les systèmes OT.
  • Utilisation du protocole de tampon de trame à distance VNC pour se connecter aux IHM afin de contrôler les systèmes OT.
  • Utilisation de VNC sur le port 5900 pour accéder aux IHM en utilisant des informations d’identification par défaut et des mots de passe faibles sur les comptes non protégés par l’authentification multifacteur

Pour se protéger contre ces attaques, l’avis propose un large éventail d’étapes, notamment la mise en place d’IHM derrière des pare-feu, le renforcement des installations VNC, l’activation de l’authentification multifacteur, l’application des dernières mises à jour de sécurité et la modification des mots de passe par défaut, ainsi que l’augmentation de la posture de sécurité globale des environnements informatiques.

«  »Cette année, nous avons observé que les hacktivistes pro-russes élargissaient leur ciblage pour inclure les systèmes de contrôle industriels nord-américains et européens vulnérables », a déclaré Dave Luber, directeur de la cybersécurité de la NSA.

« La NSA recommande vivement aux administrateurs OT des organisations d’infrastructures critiques de mettre en œuvre les mesures d’atténuation décrites dans ce rapport, en particulier de modifier les mots de passe par défaut, afin d’améliorer leur posture de cybersécurité et de réduire la vulnérabilité de leur système à ce type de ciblage. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *