Une entreprise dont les logiciels et les services sont utilisés pour administrer et surveiller à distance de larges pans de l’industrie de l’énergie a commencé à avertir ses clients la semaine dernière qu’elle enquêtait sur une attaque de pirate informatique sophistiquée couvrant ses opérations aux États-Unis, au Canada et en Espagne. Les experts disent que les empreintes digitales laissées par les attaquants indiquent un groupe de piratage chinois lié à des campagnes répétées de cyber-espionnage contre les principaux intérêts occidentaux.
L’attaque survient alors que les décideurs américains restent dans l’impasse sur la législation visant à renforcer la posture de cybersécurité des sociétés énergétiques et d’autres industries qui maintiennent certains des réseaux d’information les plus vitaux au monde.
Dans des lettres envoyées aux clients la semaine dernière, Telvent Canada Ltée. a déclaré que le 10 septembre 2012, il a appris une violation de son pare-feu interne et de ses systèmes de sécurité. Telvent a déclaré que le ou les attaquants avaient installé des logiciels malveillants et volé des fichiers de projet liés à l’une de ses offres principales – SCADA OASyS — un produit qui aide les entreprises énergétiques à associer des actifs informatiques plus anciens à des technologies de « réseau intelligent » plus avancées.
L’entreprise a déclaré qu’elle enquêtait toujours sur l’incident, mais que par mesure de précaution, elle avait déconnecté les liaisons de données habituelles entre les clients et les parties affectées de ses réseaux internes.
« Afin de pouvoir continuer à fournir des services d’assistance à distance à nos clients de manière sécurisée, nous avons établi de nouvelles procédures à suivre jusqu’à ce que nous soyons sûrs qu’il n’y a plus d’intrusions dans le réseau Telvent et que tout virus ou des fichiers malveillants ont été éliminés », a déclaré la société dans une lettre envoyée aux clients cette semaine, dont une copie a été obtenue par BreachTrace.com. « Bien que nous n’ayons aucune raison de croire que le ou les intrus ont acquis des informations qui leur permettraient d’accéder à un système client ou que l’un des ordinateurs compromis a été connecté à un système client, par mesure de précaution supplémentaire , nous avons mis fin indéfiniment à tout accès au système client par Telvent. »
Cet incident est le dernier rappel des problèmes qui peuvent survenir lorsque les systèmes informatiques d’entreprise des réseaux critiques sont connectés à des systèmes de contrôle sensibles qui n’ont jamais été conçus dans un souci de sécurité. Les experts en sécurité s’inquiètent depuis longtemps de l’introduction de vulnérabilités dans les systèmes qui régulent le réseau électrique, car les compagnies d’électricité ont transféré le contrôle des équipements de production et de distribution des réseaux internes à ce que l’on appelle le « contrôle de surveillance et l’acquisition de données », ou SCADA, des systèmes accessibles. par Internet ou par lignes téléphoniques. Le passage aux systèmes SCADA augmente l’efficacité des services publics car il permet aux travailleurs de faire fonctionner l’équipement à distance, mais les experts affirment qu’il expose également ces systèmes autrefois fermés aux cyberattaques.
Telvent n’a pas répondu à plusieurs demandes de commentaires. Mais dans une série de communications écrites aux clients, la société a détaillé les efforts en cours pour déterminer l’étendue et la durée de la violation. Dans ces communications, Telvent a déclaré qu’il travaillait avec les forces de l’ordre et un groupe de travail composé de représentants de sa société mère, Schneider Electric, un conglomérat énergétique français qui emploie 130 000 personnes et exerce ses activités en Amérique, en Europe occidentale et en Asie. Telvent aurait emploie environ 6 000 personnes dans au moins 19 pays à travers le monde.
La divulgation intervient quelques jours seulement après Telvent annoncé il était en partenariat avec Foxborough, Massachusetts basé Défenseur industriel pour étendre ses capacités de cybersécurité au sein des principales solutions d’infrastructures critiques et de services publics de Telvent. Un porte-parole d’Industrial Defender a déclaré que la société ne commentait pas les clients existants.
Une page d’une alerte envoyée par Telvent aux clients concernant les logiciels malveillants laissés par les intrus.
Dans son dernier envoi aux clients touchés par la violation, daté du 25 septembre 2012, les dirigeants de Telvent ont fourni des détails sur les logiciels malveillants utilisés dans l’attaque. Ces logiciels malveillants et composants réseau, répertoriés dans la communication photocopiée de Telvent présentée ici, suggèrent fortement l’implication de groupes de pirates chinois liés à d’autres attaques très médiatisées contre des entreprises du Fortune 500 au cours des dernières années.
Joe Stewartdirecteur de la recherche sur les logiciels malveillants chez Dell Secure Works et un expert des attaques ciblées, a déclaré que les noms de sites Web et de logiciels malveillants cités dans le rapport de Telvent remontent à une équipe de piratage chinoise connue sous le nom de « Comment Group ».
En juillet, Nouvelles Bloomberg publié un regard en profondeur au Comment Group et ses nombreuses années d’implication présumée dans le déploiement d’attaques sophistiquées pour récolter la propriété intellectuelle et les secrets commerciaux des sociétés énergétiques, des cabinets d’avocats en brevets et des banques d’investissement.
Cette enquête a examiné les données recueillies par un groupe de 30 chercheurs en sécurité, qui ont suivi l’activité du Comment Group pendant moins de deux mois l’année dernière et ont découvert des preuves qu’il avait infiltré au moins 20 organisations – « dont beaucoup d’organisations avec des secrets qui pourrait donner à la Chine un avantage alors qu’elle s’efforce de devenir la plus grande économie du monde. Les cibles comprenaient des avocats poursuivant des poursuites commerciales contre les exportateurs du pays et une société énergétique se préparant à forer dans les eaux que la Chine revendique comme les siennes.
Les politiciens du Congrès et de l’administration Obama accusent de plus en plus la Chine et la Russie de pirater les réseaux informatiques américains à des fins économiques, d’espionnage et autres. Mais ces accusations ont tendance à sonner creux à l’étranger, comme Reuters récemment observé: « La position des États-Unis pour se plaindre des cyberattaques d’autres nations a cependant été minée par les révélations selon lesquelles Washington, avec Israël, a lancé ses propres cyberopérations offensives sophistiquées contre l’Iran pour tenter de ralentir la quête présumée de cette nation pour une arme nucléaire. ” Le logiciel malveillant auquel il est fait allusion dans cet article de Reuters – Stuxnet — a été conçu pour attaquer des vulnérabilités spécifiques dans les systèmes SCADA connus pour être utilisés dans les installations iraniennes d’enrichissement d’uranium.
Néanmoins, un nombre croissant de preuves suggèrent l’implication d’un ou deux groupes de piratage chinois dans une multitude de cyber-effractions d’entreprise très médiatisées au cours des dernières années. Symantec Corp. signalé plus tôt ce mois-ci qu’un groupe de pirates informatiques chinois responsable de l’intrusion dans Google Inc en 2009 – une opération baptisée plus tard Opération Aurora – avait depuis lancé des centaines d’autres cyberattaques, en se concentrant sur les entreprises de défense et les groupes de défense des droits de l’homme. Plus tôt cette semaine, j’ai détaillé des recherches supplémentaires sur ce front qui ont montré que les attaquants d’espionnage réussissent souvent de manière détournée – en implantant des logiciels malveillants sur des sites « point d’eau » jugés les plus susceptibles d’être visités par les cibles d’intérêt.
Selon Dell SecureWorks, les domaines connectés à différents botnets de cyberespionnage remontent généralement à l’une des deux destinations en Chine.
.
[ad_1]
Une entreprise dont les logiciels et les services sont utilisés pour administrer et surveiller à distance de larges pans de l’industrie de l’énergie a commencé à avertir ses clients la semaine dernière qu’elle enquêtait sur une attaque de pirate informatique sophistiquée couvrant ses opérations aux États-Unis, au Canada et en Espagne. Les experts disent que les empreintes digitales laissées par les attaquants indiquent un groupe de piratage chinois lié à des campagnes répétées de cyber-espionnage contre les principaux intérêts occidentaux.
Dans des lettres envoyées aux clients la semaine dernière, Telvent Canada Ltée. a déclaré que le 10 septembre 2012, il a appris une violation de son pare-feu interne et de ses systèmes de sécurité. Telvent a déclaré que le ou les attaquants avaient installé des logiciels malveillants et volé des fichiers de projet liés à l’une de ses offres principales – SCADA OASyS — un produit qui aide les entreprises énergétiques à associer des actifs informatiques plus anciens à des technologies de « réseau intelligent » plus avancées.
L’entreprise a déclaré qu’elle enquêtait toujours sur l’incident, mais que par mesure de précaution, elle avait déconnecté les liaisons de données habituelles entre les clients et les parties affectées de ses réseaux internes.
« Afin de pouvoir continuer à fournir des services d’assistance à distance à nos clients de manière sécurisée, nous avons établi de nouvelles procédures à suivre jusqu’à ce que nous soyons sûrs qu’il n’y a plus d’intrusions dans le réseau Telvent et que tout virus ou des fichiers malveillants ont été éliminés », a déclaré la société dans une lettre envoyée aux clients cette semaine, dont une copie a été obtenue par BreachTrace.com. « Bien que nous n’ayons aucune raison de croire que le ou les intrus ont acquis des informations qui leur permettraient d’accéder à un système client ou que l’un des ordinateurs compromis a été connecté à un système client, par mesure de précaution supplémentaire , nous avons mis fin indéfiniment à tout accès au système client par Telvent. »
Cet incident est le dernier rappel des problèmes qui peuvent survenir lorsque les systèmes informatiques d’entreprise des réseaux critiques sont connectés à des systèmes de contrôle sensibles qui n’ont jamais été conçus dans un souci de sécurité. Les experts en sécurité s’inquiètent depuis longtemps de l’introduction de vulnérabilités dans les systèmes qui régulent le réseau électrique, car les compagnies d’électricité ont transféré le contrôle des équipements de production et de distribution des réseaux internes à ce que l’on appelle le « contrôle de surveillance et l’acquisition de données », ou SCADA, des systèmes accessibles. par Internet ou par lignes téléphoniques. Le passage aux systèmes SCADA augmente l’efficacité des services publics car il permet aux travailleurs de faire fonctionner l’équipement à distance, mais les experts affirment qu’il expose également ces systèmes autrefois fermés aux cyberattaques.
Telvent n’a pas répondu à plusieurs demandes de commentaires. Mais dans une série de communications écrites aux clients, la société a détaillé les efforts en cours pour déterminer l’étendue et la durée de la violation. Dans ces communications, Telvent a déclaré qu’il travaillait avec les forces de l’ordre et un groupe de travail composé de représentants de sa société mère, Schneider Electric, un conglomérat énergétique français qui emploie 130 000 personnes et exerce ses activités en Amérique, en Europe occidentale et en Asie. Telvent aurait emploie environ 6 000 personnes dans au moins 19 pays à travers le monde.
La divulgation intervient quelques jours seulement après Telvent annoncé il était en partenariat avec Foxborough, Massachusetts basé Défenseur industriel pour étendre ses capacités de cybersécurité au sein des principales solutions d’infrastructures critiques et de services publics de Telvent. Un porte-parole d’Industrial Defender a déclaré que la société ne commentait pas les clients existants.
Une page d’une alerte envoyée par Telvent aux clients concernant les logiciels malveillants laissés par les intrus.
Dans son dernier envoi aux clients touchés par la violation, daté du 25 septembre 2012, les dirigeants de Telvent ont fourni des détails sur les logiciels malveillants utilisés dans l’attaque. Ces logiciels malveillants et composants réseau, répertoriés dans la communication photocopiée de Telvent présentée ici, suggèrent fortement l’implication de groupes de pirates chinois liés à d’autres attaques très médiatisées contre des entreprises du Fortune 500 au cours des dernières années.
Joe Stewartdirecteur de la recherche sur les logiciels malveillants chez Dell Secure Works et un expert des attaques ciblées, a déclaré que les noms de sites Web et de logiciels malveillants cités dans le rapport de Telvent remontent à une équipe de piratage chinoise connue sous le nom de « Comment Group ».
En juillet, Nouvelles Bloomberg publié un regard en profondeur au Comment Group et ses nombreuses années d’implication présumée dans le déploiement d’attaques sophistiquées pour récolter la propriété intellectuelle et les secrets commerciaux des sociétés énergétiques, des cabinets d’avocats en brevets et des banques d’investissement.
Cette enquête a examiné les données recueillies par un groupe de 30 chercheurs en sécurité, qui ont suivi l’activité du Comment Group pendant moins de deux mois l’année dernière et ont découvert des preuves qu’il avait infiltré au moins 20 organisations – « dont beaucoup d’organisations avec des secrets qui pourrait donner à la Chine un avantage alors qu’elle s’efforce de devenir la plus grande économie du monde. Les cibles comprenaient des avocats poursuivant des poursuites commerciales contre les exportateurs du pays et une société énergétique se préparant à forer dans les eaux que la Chine revendique comme les siennes.
Les politiciens du Congrès et de l’administration Obama accusent de plus en plus la Chine et la Russie de pirater les réseaux informatiques américains à des fins économiques, d’espionnage et autres. Mais ces accusations ont tendance à sonner creux à l’étranger, comme Reuters récemment observé: « La position des États-Unis pour se plaindre des cyberattaques d’autres nations a cependant été minée par les révélations selon lesquelles Washington, avec Israël, a lancé ses propres cyberopérations offensives sophistiquées contre l’Iran pour tenter de ralentir la quête présumée de cette nation pour une arme nucléaire. ” Le logiciel malveillant auquel il est fait allusion dans cet article de Reuters – Stuxnet — a été conçu pour attaquer des vulnérabilités spécifiques dans les systèmes SCADA connus pour être utilisés dans les installations iraniennes d’enrichissement d’uranium.
Néanmoins, un nombre croissant de preuves suggèrent l’implication d’un ou deux groupes de piratage chinois dans une multitude de cyber-effractions d’entreprise très médiatisées au cours des dernières années. Symantec Corp. signalé plus tôt ce mois-ci qu’un groupe de pirates informatiques chinois responsable de l’intrusion dans Google Inc en 2009 – une opération baptisée plus tard Opération Aurora – avait depuis lancé des centaines d’autres cyberattaques, en se concentrant sur les entreprises de défense et les groupes de défense des droits de l’homme. Plus tôt cette semaine, j’ai détaillé des recherches supplémentaires sur ce front qui ont montré que les attaquants d’espionnage réussissent souvent de manière détournée – en implantant des logiciels malveillants sur des sites « point d’eau » jugés les plus susceptibles d’être visités par les cibles d’intérêt.
Selon Dell SecureWorks, les domaines connectés à différents botnets de cyberespionnage remontent généralement à l’une des deux destinations en Chine.
.