[ad_1]

Trois sous-traitants de la défense israéliens responsables de la construction du bouclier antimissile « Iron Dome » protégeant actuellement Israël d’un barrage d’attaques à la roquette ont été compromis par des pirates et volés d’énormes quantités de documents sensibles relatifs à la technologie du bouclier, a appris BreachTrace.

Les intrusions inédites, qui se sont produites entre 2011 et 2012, illustrent les défis continus auxquels les sous-traitants de la défense et d’autres entreprises sont confrontés pour dissuader les cyber-adversaires organisés et empêcher le vol d’informations exclusives.

Le système anti-missile Iron Dome en fonctionnement, 2011.

Un composant du système antimissile ‘Iron Dome’ en fonctionnement, 2011.

Selon Columbia, société de renseignements sur les menaces basée dans le Maryland Services de cyberingénierie inc. (CyberESI), entre le 10 octobre 2011 et le 13 août 2012, des attaquants soupçonnés d’opérer depuis la Chine ont piraté les réseaux d’entreprise de trois grandes sociétés de technologie de défense israéliennes, dont Groupe Elisra, Industries aérospatiales d’Israël, et Systèmes de défense avancés Rafael.

En puisant dans l’infrastructure de communication secrète mise en place par les pirates, CyberESI a déterminé que les attaquants avaient exfiltré de grandes quantités de données des trois sociétés. La plupart des informations concernaient la propriété intellectuelle relative aux missiles Arrow III, aux véhicules aériens sans pilote (UAV), aux fusées balistiques et à d’autres documents techniques dans les mêmes domaines d’étude.

Joseph Drisselfondateur et directeur général de CyberESI, a déclaré que la nature des données exfiltrées et l’industrie dans laquelle ces entreprises sont impliquées suggèrent que les pirates chinois recherchaient des informations liées au système de défense aérienne israélien tout temps appelé Iron Dome.

Le gouvernement israélien a crédité Iron Dome avec l’interception d’environ un cinquième des plus de 2 000 roquettes que les militants palestiniens ont tirées sur Israël pendant le conflit actuel. Le Congrès américain se dispute actuellement une législation qui enverrait plus de 350 millions de dollars à Israël pour poursuivre le développement et le déploiement de la technologie du bouclier antimissile. Si elle est approuvée, cette augmentation de financement rapporterait près d’un milliard de dollars aux États-Unis sur cinq ans pour la production d’Iron Dome.

Ni Elisra ni Rafael n’ont répondu aux demandes de commentaires sur les failles de sécurité apparentes. Un porte-parole d’Israel Aerospace Industries a balayé la découverte de CyberESI, la qualifiant de « vieille nouvelle ». Lorsqu’on lui a demandé de fournir des liens vers une couverture médiatique d’une telle violation, IAI n’a pas été en mesure de localiser ou de pointer vers des histoires spécifiques. La société a refusé de dire si elle avait alerté l’un de ses partenaires industriels américains de la violation, et elle a refusé de répondre à toute question directe concernant l’incident.

flèche3« A l’époque, la question a été traitée comme l’exigent les règles et procédures applicables », a déclaré la porte-parole de l’IAI. Eliana Fishler a écrit dans un e-mail à BreachTrace. « L’information a été signalée aux autorités compétentes. IAI a entrepris des actions correctives afin d’éviter de tels incidents à l’avenir.

Drissel a déclaré que de nombreux documents volés aux sous-traitants de la défense sont désignés par des marques indiquant que leur accès et leur partage sont limités par Règlement sur le trafic international d’armes (ITAR) — Département d’État américain contrôles qui réglementent l’industrie de la défense. Par exemple, a déclaré Drissel, parmi les données que les pirates ont volées à l’IAI, il y a un document de 900 pages qui fournit des schémas et des spécifications détaillés pour le Missile Flèche 3.

« La plupart de la technologie de l’Arrow 3 n’a pas été conçue par Israël, mais par Boeing et d’autres sous-traitants de la défense américaine », a déclaré Drissel. « Nous leur avons transféré cette technologie, et ils ont tout craché. Au cours du processus, ils ont essentiellement abandonné un tas de choses qui sont probablement également utilisées dans nos systèmes.

QU’EST-CE QUI A ÉTÉ VOLÉ, ET PAR QUI ?

Selon CyberESI, IAI a été initialement piraté le 16 avril 2012 par une série d’attaques de phishing par e-mail spécialement conçues. Drissel a déclaré que les attaques portaient toutes les caractéristiques du « Comment Crew », un groupe de piratage prolifique et parrainé par l’État associé à l’Armée populaire de libération (APL) chinoise et crédité d’avoir volé des téraoctets de données à des sous-traitants de la défense et à des sociétés américaines.

Image : FBI

Image : FBI

The Comment Crew est la même équipe de piratage présenté dans un Février 2013 rapport d’une société d’intervention en cas d’incident basée à Alexandria, en Virginie Mandiantqui désignait le groupe simplement par sa désignation officielle — « Unité APL 61398.« En mai 2014, le Département américain de la justice accusé cinq membres militaires éminents de l’équipe de commentaires avec une série d’infractions criminelles de piratage et d’espionnage contre des entreprises américaines.

Une fois à l’intérieur du réseau de l’IAI, les membres de Comment Crew ont passé les quatre mois suivants en 2012 à utiliser leur accès pour installer divers outils et chevaux de Troie sur les systèmes du réseau de l’entreprise et à étendre leur accès aux fichiers sensibles, a déclaré CyberESI. Les acteurs ont compromis les informations d’identification privilégiées, vidé les hachages de mots de passe et collecté des informations sur le système, les fichiers et le réseau pour plusieurs systèmes. Les acteurs ont également utilisé avec succès des outils pour vider les données Active Directory des contrôleurs de domaine sur au moins deux domaines différents sur le réseau de l’IAI.

Au total, CyberESI a pu identifier et acquérir plus de 700 fichiers – totalisant une taille totale de 762 Mo – qui ont été exfiltrés du réseau d’IAI lors de la compromission. La société de sécurité a déclaré que la plupart des données acquises étaient de la propriété intellectuelle et ne représentaient probablement qu’une petite partie de la perte totale de données par IAI.

« La propriété intellectuelle se présentait sous la forme de documents Word, de présentations PowerPoint, de feuilles de calcul, de messages électroniques, de fichiers au format de document portable (PDF), de scripts et de fichiers exécutables binaires », a écrit CyberESI dans un long rapport produit sur les violations.

« Une fois que les acteurs ont pris pied dans le réseau de la victime, ils sont généralement capables de compromettre les comptes privilégiés locaux et de domaine, ce qui leur permet ensuite de se déplacer latéralement sur le réseau et d’infecter des systèmes supplémentaires », poursuit le rapport. « Les acteurs acquièrent les informations d’identification des comptes d’administrateur local en utilisant des outils de vidage de hachage. Ils peuvent également utiliser les informations d’identification communes du compte d’administrateur local pour infecter d’autres systèmes avec des chevaux de Troie. Ils peuvent également exécuter des outils de vidage de hachage sur les contrôleurs de domaine, ce qui compromet la plupart sinon la totalité des hachages de mots de passe utilisés sur le réseau. Les acteurs peuvent également déployer des enregistreurs de frappe sur les systèmes des utilisateurs, qui capturent les mots de passe d’autres appareils non Windows sur le réseau.

Les attaquants ont suivi un modus operandi similaire en ciblant Elisra, une violation qui, selon CyberESI, a commencé en octobre 2011 et a persisté par intermittence jusqu’en juillet 2012. La société de sécurité a déclaré les attaquants ont infiltré et copié les e-mails de nombreux cadres supérieurs d’Elisra, y compris le PDG, le directeur de la technologie (CTO) et plusieurs vice-présidents au sein de l’entreprise.

CyberESI note qu’il est probable que les attaquants s’en prenaient à des personnes d’intérêt ayant accès à des informations sensibles au sein d’Elisra, et/ou rassemblaient des cibles pour de futures campagnes de harponnage.

Drissel a déclaré que, comme de nombreuses autres violations de propriété intellectuelle de ce type que la société a détectées au fil des ans, ni les entreprises victimes ni le gouvernement américain n’ont fourni de réponse après que CyberESI les ait alertés des violations à l’époque.

« La raison pour laquelle personne ne veut en parler, c’est que les gens ne veulent pas revictimiser la victime », a déclaré Drissel. «Mais les vraies victimes ici sont les personnes à l’autre bout qui sont mises en danger en raison d’une mauvaise posture en matière de sécurité et du manque d’urgence de la part de beaucoup de gens sur la façon de résoudre ce problème. De nombreuses entreprises se sont habituées à des coûts informatiques à petit budget. Mais la réalité est que si vous avez certaines informations sensibles, vous devez dépenser une certaine somme d’argent pour les sécuriser.

ANALYSE

Alors que certains des plus grands sous-traitants de la défense au monde ont dépensé des centaines de millions de dollars et plusieurs années pour apprendre à détecter et à répondre rapidement à des cyberattaques aussi sophistiquées, on peut se demander si cette approche peut ou doit être adaptée aux petites entreprises.

Michel Assantechef de projet pour la sécurité du système de contrôle industriel (ICS) et du contrôle de supervision et de l’acquisition de données (SCADA) à la Institut SANSa déclaré que bien qu’il y ait beaucoup de discussions dans l’industrie de la sécurité sur le partage accru d’informations comme réponse pour détecter plus rapidement ces types d’intrusions, ce n’est qu’une petite partie de la solution globale.

« Nous parlons collectivement de toutes les choses que nous devrions faire mieux – que nous devons avoir de meilleures politiques de sécurité, un meilleur partage d’informations, une meilleure détection, et nous posons le tome et disons » Faites toutes ces choses « , », a déclaré Assante. « Et peut-être qu’un programme de sécurité de 100 millions de dollars peut bien faire toutes ces choses ou faire des progrès contre ces types d’attaques, mais cet entrepreneur de défense de 80 personnes ? Pas tellement.

Assante a déclaré que la plupart des entreprises des secteurs du renseignement et de la défense avoir se sont améliorés dans le partage d’informations et dans l’aspect dit de « cyber contre-espionnage » de ces attaques : à savoir, dans l’identification des acteurs de la menace, des tactiques et des techniques des différentes organisations parrainées par l’État responsables. Mais il a noté que la plupart des organisations se débattent encore avec le début du problème : identifier l’intrusion d’origine et empêcher le compromis initial de se transformer en un problème beaucoup plus important.

« Je ne pense pas que nous nous soyons beaucoup améliorés à cet égard, où les principaux défis sont les logiciels malveillants personnalisés, l’activité persistante et beaucoup de bruit », a déclaré Assante. « Une notification meilleure et plus large [by companies like CyberESI] serait formidable, mais le problème est que généralement ces notifications arrivent après que des données sensibles ont déjà été exfiltrées de l’organisation victime. Compte tenu de la nature des menaces persistantes avancées, vous ne pouvez pas battre ce cycle temporel. Eh bien, vous en êtes peut-être capable, mais le montant des investissements nécessaires pour changer cela est énorme.

En fin de compte, la sécurisation des systèmes sensibles contre les attaques avancées au niveau de l’État peut nécessiter une approche complètement différente. Après tout, comme l’a dit Einstein, « Nous ne pouvons pas résoudre nos problèmes avec la même façon de penser que nous avons utilisée lorsque nous les avons créés. »

En effet, cela semble être le principal objectif d’un rapport publié ce mois-ci par Richard J. Danzigmembre du conseil d’administration Centre pour la nouvelle sécurité américaine. Dans « Survivre à un régime de fruits empoisonnés», (PDF) Danzig note que les efforts défensifs dans les principaux systèmes matures sont devenus plus sophistiqués et efficaces.

« Cependant, la concurrence est continue entre les attaquants et le défenseur », a-t-il écrit. « De plus, à mesure que les nouvelles technologies de l’information se développent, nous ne faisons pas d’investissements concomitants dans leur protection. En conséquence, les cyber-insécurités augmentent généralement et devraient continuer à augmenter plus rapidement que les mesures de sécurité.

Dans sa conclusion, Danzig propose une gamme de suggestions larges (et stimulantes), y compris ce joyau, qui met l’accent sur la sécurité plutôt que sur la facilité d’utilisation et la commodité dans les systèmes gouvernementaux critiques :

« Pour les systèmes gouvernementaux critiques des États-Unis, présumez la cyber-vulnérabilité et concevez des organisations, des opérations et des acquisitions pour compenser cette vulnérabilité. Faites cela par une stratégie en quatre parties d’abnégation, d’utilisation d’architectures hors bande, de diversification et de dégradation gracieuse. Poursuivez la première voie en éliminant le « bien à avoir » des cyber-capacités essentielles et limitantes afin de minimiser les cyber-vulnérabilités. Pour le second, créer des interventions non cyber dans les cyber systèmes. Pour le troisième, encouragez différentes cyberdépendances dans différents systèmes afin que des vulnérabilités uniques soient moins susceptibles d’entraîner une défaillance ou un compromis généralisé. Et pour le quatrième, investissez dans des capacités de découverte et de récupération. Pour mettre en œuvre ces approches, formez le personnel clé aux opérations et à la sécurité afin de faciliter des compromis conscients et bien informés entre les gains de sécurité et les coûts opérationnels et économiques de la poursuite de ces stratégies.

Source : Centre pour la nouvelle sécurité américaine

Source : Centre pour la nouvelle sécurité américaine

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *