Voici ce que nous savons des attaques par pulvérisation de mots de passe menées par des pirates iraniens

Iranian Hackers Launch Password Spraying Attacks on US Power Grid

L'escalade des tensions entre l'Iran et les États-Unis fait naturellement l'actualité. La situation est extrêmement complexe et personne n'est vraiment sûr de ce qui va se passer ensuite. Pour l'instant, les choses sont relativement pacifiques, mais nous savons tous que certains doigts pourraient très bien planer sur certains boutons rouges, et nous ne pouvons qu'espérer que le bon sens finira par prévaloir. Il faut dire, cependant, que si la tension réelle pourrait s'atténuer, en ligne, l'échange d'attaques entre l'Iran et les États-Unis ne devrait pas s'arrêter de sitôt.

Hier, Dragos Inc., un groupe de cybersécurité qui se concentre sur la protection des systèmes de contrôle industriels (ICS), a publié un rapport qui détaille les activités de onze groupes de piratage liés à l'Iran et, plus précisément, leurs attaques contre le réseau électrique américain. Cela montre que bien qu'ils n'attirent pas trop l'attention des médias, les acteurs de la menace soutenus par le pays attaquent en permanence les actifs ICS d'autres pays.

Malgré cela, il faut dire que les désaccords réels entre l'Iran et l'Amérique ont eu un impact sur les activités des acteurs de la menace. Les onze groupes de piratage évoqués dans le rapport de Dragos sont connus pour attaquer les systèmes ICS dans le monde entier, mais les experts ont noté que l'année dernière, la plupart d'entre eux ont braqué les yeux sur les États-Unis et l'infrastructure critique pour la production et la distribution d'électricité.

Pas de perturbation grave pour l'instant

Selon le rapport, la première attaque de malware connue qui a provoqué une panne de courant s'est produite en décembre 2015 en Ukraine, et heureusement, il n'y a guère de preuves suggérant que les moniteurs iraniens des équipages Dragos montent la deuxième. Les groupes ont en effet réussi à s'infiltrer dans les réseaux des sociétés chargées de l'approvisionnement en électricité, et ils ont siphonné certaines données sensibles. À ce stade, cependant, ils n'ont pas encore atteint le niveau d'accès qui leur permettrait de perturber l'approvisionnement en électricité d'un grand nombre de ménages. Cela ne signifie pas pour autant que cela ne puisse jamais arriver.

Gardez à l'esprit que nous ne parlons pas de cybercriminels autodidactes avec un penchant pour les sweats à capuche et les masques Guy Fawkes. Souvent appelées menaces persistantes avancées (APT), les équipes de piratage parrainées par l'État sont composées de spécialistes expérimentés qui disposent de ressources illimitées pour compromettre leurs cibles. Les experts de Dragos ont noté qu'il serait extrêmement difficile de frapper avec succès une section vitale du réseau électrique américain, mais les curriculum vitae des groupes iraniens APT discutés dans le rapport suggèrent qu'ils pourraient très bien être avec un cri.

Ils se sont fait un nom en attaquant de grandes organisations partout dans le monde, et la plupart de leurs cibles précédentes travaillent dans l'industrie pétrolière et gazière - une autre partie vitale de l'économie mondiale qui dépense des sommes importantes en espèces pour la sécurité. Les acteurs de la menace sont connus pour leur utilisation d'attaques de la chaîne d'approvisionnement pour infiltrer un réseau, et une fois qu'ils sont à l'intérieur, ils déploient souvent des outils personnalisés conçus spécifiquement pour le système ICS ciblé. Parfois, cependant, il ne s'agit pas uniquement de sophistication de pointe.

La pulvérisation de mots de passe et les VPN non corrigés peuvent parfois laisser l'infrastructure critique exposée

Andy Greenberg de Wired a également couvert le rapport de Dragos, et il s'est concentré sur les activités de deux des APT - Magnallium et Parisite. Tout au long de 2019, les deux équipes ont travaillé en tandem pour attaquer diverses sociétés de services publics d'électricité et de pétrole et de gaz aux États-Unis.

Pour atteindre leur objectif, les membres du groupe Parisite ont exploité des vulnérabilités dans un client VPN (Virtual Private Network) sans nom utilisé par leurs cibles. Le magnallium, quant à lui, a eu recours à la pulvérisation par mot de passe. Dans une attaque par pulvérisation de mots de passe, les pirates prennent l'adresse e-mail d'un utilisateur (dans ce cas, un employé d'une entreprise de services publics d'électricité) et l'utilisent en combinaison avec une sélection de mots de passe simples et faciles à deviner pour essayer de se connecter le système ciblé. Étant donné que de nombreuses personnes utilisent des mots de passe simples et faciles à deviner, certaines tentatives ont réussi.

Ce qui est intéressant à ce sujet, c'est que vous n'avez pas besoin d'être un pirate informatique sophistiqué parrainé par l'État pour exploiter un VPN vulnérable ou organiser une attaque par pulvérisation de mots de passe. En fait, ces techniques sont assez bruyantes, et elles sont généralement réservées aux imitateurs de Guy Fawkes à capuche. Pourtant, Parisite et Magnallium, deux APT avec beaucoup d'argent et de ressources, ont décidé de les utiliser. Pourquoi feraient ils cela?

Parce qu'ils pensent que ces attaques vont réussir. C'est une pensée inquiétante.

À moins qu'il ne s'agisse d'une vulnérabilité zero-day, l'exploitation d'un VPN non sécurisé signifie que l'utilisateur a mal configuré le réseau ou négligé une mise à jour de sécurité. Et en ce qui concerne la pulvérisation de mots de passe, comme nous l'avons déjà mentionné, ce n'est possible que parce que deviner les mots de passe des gens n'est pas aussi difficile qu'il devrait l'être. En d'autres termes, les APT iraniens parient sur des gens qui commettent de simples erreurs de sécurité. Les personnes en question sont responsables de parties vitales du réseau électrique américain.

Cela devrait déclencher une sonnette d'alarme pour les responsables d'organisations susceptibles d'être attaquées. Beaucoup est en jeu et la sécurité (physique et en ligne) doit être une priorité. Il est peu probable que les attaques incessantes de pirates informatiques soutenus par la nation soient arrêtées, mais les responsables du réseau électrique américain peuvent au moins se débarrasser des fruits bas.

January 10, 2020

Laisser une Réponse