Le piratage de Colonial Pipeline est un nouvel extrême pour les ransomwares

Pendant des années, le l’industrie de la cybersécurité a averti que des pirates parrainés par l’État pourraient mettre hors service de vastes pans de l’infrastructure énergétique américaine. dans un acte de cyberguerre à motivation géopolitique. Mais aujourd’hui, des pirates cybercriminels apparemment à but lucratif ont infligé une perturbation que les pirates de l’armée et des services de renseignement n’ont jamais osé faire, en fermant un pipeline qui transporte près de la moitié du carburant consommé sur la côte est des États-Unis.

Samedi, la société Colonial Pipeline, qui exploite un oléoduc transportant de l’essence, du carburant diesel et du gaz naturel sur une distance de 5 500 miles entre le Texas et le New Jersey, a publié un message d’alerte. déclaration confirmant rapports que des pirates informatiques utilisant un ransomware avaient attaqué son réseau. En réponse, Colonial Pipeline a déclaré avoir interrompu certaines parties de son activité pour tenter de contenir la menace. Cet incident représente l’une des plus grandes perturbations de l’histoire des infrastructures critiques américaines par des pirates informatiques. Il démontre également une fois de plus la gravité de l’épidémie mondiale de ransomware.

« C’est l’impact le plus important sur le système énergétique des États-Unis que nous ayons vu à la suite d’une cyberattaque, point final », déclare Rob Lee, PDG de la société de sécurité Dragos, spécialisée dans les infrastructures critiques. Outre l’impact financier sur Colonial Pipeline ou sur les nombreux fournisseurs et clients du carburant qu’il transporte, M. Lee souligne qu’en 2020, environ 40 % de l’électricité américaine sera produite par la combustion de gaz naturel, soit plus que toute autre source. Cela signifie, selon lui, que la menace de cyberattaques sur un gazoduc représente une menace importante pour le réseau électrique civil. « Vous avez une réelle capacité à impacter le système électrique de manière large en coupant l’approvisionnement en gaz naturel. C’est un gros problème », ajoute-t-il. « Je pense que le Congrès va se poser des questions. Un fournisseur a été frappé par un ransomware provenant d’un acte criminel, ce n’était même pas une attaque parrainée par l’État, et cela a eu un impact sur le système de cette façon ? »

La courte déclaration publique de Colonial Pipeline indique qu’elle a « lancé une enquête sur la nature et la portée de cet incident, qui est en cours ». Reuters rapporte que des intervenants de la société de sécurité FireEye assistent l’entreprise, et que les enquêteurs soupçonnent qu’une personne de l’entreprise est à l’origine de l’incident. ransomware groupe connu sous le nom de Darkside pourrait être responsable. Selon le un rapport de la société de sécurité Cybereason, Darkside a compromis plus de 40 organisations victimes et leur a demandé entre 200 000 et 2 millions de dollars de rançon.

La fermeture de Colonial Pipeline intervient au milieu d’une épidémie de ransomware en pleine expansion : les pirates ont paralysé numériquement et extorqué des hôpitaux, piraté les bases de données des forces de l’ordre et a menacé de dénoncer publiquement des informateurs de la policeet des systèmes municipaux paralysés à Baltimore et Atlanta..

La majorité des victimes de ransomware ne rendent jamais leurs attaques publiques. Mais M. Lee indique que son entreprise a constaté une augmentation significative des opérations de ransomware visant les systèmes de contrôle industriels et les infrastructures critiques, les pirates à but lucratif recherchant les cibles les plus sensibles et les plus précieuses à mettre en danger. « Les criminels commencent à penser à cibler les systèmes industriels et, au cours des sept ou huit derniers mois, nous avons constaté un pic de cas », explique M. Lee. « Je pense que nous allons en voir beaucoup plus ».

En fait, les opérateurs de ransomware ont eu de plus en plus de victimes industrielles dans leur ligne de mire ces dernières années. Hydro Norsk, Hexion, et Momentive ont tous été frappés par un ransomware en 2019, et les chercheurs en sécurité ont découvert l’année dernière Ekans, le logiciel de gestion de la sécurité. premier ransomware apparemment conçu sur mesure pour paralyser les systèmes de contrôle industriels.. Même le fait de cibler un opérateur de gazoduc n’est pas totalement inédit : Fin 2019, des pirates ont implanté un ransomware sur les réseaux d’une société américaine de gazoducs non nommée, l’Agence de cybersécurité et de sécurité des infrastructures. a prévenu au début de 2020.-mais pas de la taille de celui de Colonial Pipeline.

Dans cette précédente attaque par ransomware, la CISA avait prévenu que les pirates avaient eu accès à la fois aux systèmes informatiques et aux systèmes de « technologie opérationnelle » de l’entreprise pipelinière ciblée, c’est-à-dire au réseau informatique responsable du contrôle des équipements physiques. Dans le cas de Colonial Pipeline, on ne sait pas encore si les pirates ont comblé cette lacune en accédant à des systèmes qui leur auraient permis d’intervenir sur l’état physique du pipeline ou de créer des conditions physiques potentiellement dangereuses. Selon Joe Slowik, chercheur en renseignement sur les menaces pour la société de sécurité Gigamon, qui a dirigé l’équipe chargée de la sécurité informatique et de la réponse aux incidents au ministère américain de l’énergie, le simple fait d’obtenir un large accès au réseau informatique pourrait suffire pour que la société arrête l’exploitation du pipeline par mesure de précaution. « Dans ce cas, l’opérateur a fait ce qu’il fallait en réponse aux événements », déclare M. Slowik. « Une fois que vous ne pouvez plus assurer un contrôle positif sur l’environnement et une visibilité claire sur les opérations, vous devez fermer le site. »