Kaspersky révèle les principaux facteurs à l’origine des attaques APT prenant pour cible le secteur industriel

0
154

Parmi les facteurs clés qui contribuent au succès des opérations des menaces persistantes avancées (APT) à l’intérieur des réseaux des organisations visées, on retrouve, entre autres, le facteur humain, l’insuffisance des mesures de sécurité mises en place, ou encore les difficultés liées aux mises à jour et à la configuration des solutions de cybersécurité. Bien que certaines de ces raisons puissent sembler triviales, elles sont fréquemment identifiées par les experts de Kaspersky comme cause des incidents auxquels ils tentent de répondre.

Tribune – Afin d’aider les entreprises à réduire les menaces liées aux APT et à garantir la mise en œuvre de bonnes pratiques éprouvées, les experts de Kaspersky ICS CERT ont dressé une liste des problèmes les plus souvent rencontrés. 

Manque de cloisonnement du réseau OT 

Au cours de leurs enquêtes sur les incidents, les experts de Kaspersky ont été témoins de cas où il y avait des problèmes pour garder le réseau de technologies opérationnelles (OT) cloisonné et sécurisé. Par exemple, des machines telles que des postes de travail d’ingénierie professionnels sont connectées à la fois au réseau informatique classique et au réseau OT.  

« Dans les situations dans lesquelles l’isolation du réseau OT repose uniquement sur la configuration de l’équipement réseau, les attaquants expérimentés peuvent toujours reconfigurer cet équipement à leur avantage », ont déclaré les experts de réponse aux urgences cyber pour les systèmes de contrôle industriels chez Kaspersky. « Par exemple, ils peuvent les transformer en serveurs proxy pour piloter le trafic de logiciels malveillants ou même les utiliser pour stocker et diffuser ces programmes sur des réseaux que l’on croyait isolés. Nous avons été témoins de telles activités malveillantes à de multiples occasions ».

Le facteur humain, moteur essentiel des activités cybercriminelles

Les mesures de sécurité de base sont souvent négligées lorsqu’il s’agit d’accorder l’accès aux réseaux OT à des employés ou à des sous-traitants. Les outils d’administration à distance tels que TeamViewer ou Anydesk, initialement mis en place de manière temporaire, peuvent rester actifs sans que l’on s’en aperçoive. Cependant, il est essentiel de se rappeler que ces canaux sont facilement exploités par les attaquants. En 2023, Kaspersky a enquêté sur un incident au cours duquel un entrepreneur a tenté un sabotage en profitant d’un accès à distance au réseau ICS qui lui avait été légitimement accordé plusieurs années auparavant. 

Cette histoire démontre l’importance de prendre en compte le facteur humain, car tout employé potentiellement mécontent peut être motivé par son évaluation annuelle, ses revenus ou des raisons politiques, ce qui peut l’amener à s’engager dans des actions cybercriminelles. Pour faire face à de tels risques, une solution possible peut être la confiance zéro, un concept supposant que ni l’utilisateur, ni l’appareil, ni l’application utilisée dans le système ne sont dignes de confiance. Contrairement à d’autres solutions Zero Trust, Kaspersky étend cette approche jusqu’au système d’exploitation avec ses solutions basées sur KasperskyOS.

Une protection insuffisante des actifs informatiques

En analysant les incidents de leurs clients, les experts de Kaspersky ont découvert des bases de données de solutions de sécurité obsolètes, des clés de licence manquantes, des suppressions de clés à l’initiative de l’utilisateur, des composants de sécurité désactivés et des exceptions excessives concernant les paramètres d’analyse et de protection. Tous ces éléments contribuent à la propagation de logiciels malveillants.

Par exemple, si vos bases de données ne sont pas à jour et qu’une solution de sécurité ne peut pas être mise à niveau automatiquement, cela peut permettre aux menaces avancées de se propager rapidement et facilement, comme c’est le cas avec les attaques APT, où les acteurs sophistiqués sont discrets et évitent d’être détectés. 

Configurations non sécurisées des solutions de sécurité

Quand on installe une solution de sécurité, il est essentiel de la configurer correctement pour éviter qu’elle ne soit désactivée ou même utilisée de manière abusive, une tactique souvent employée par les groupes et acteurs APT. Ils peuvent subtiliser des informations sur le réseau des victimes stockées dans la solution de sécurité pour pénétrer dans d’autres parties du système, ou se déplacer latéralement, en utilisant le langage informatique professionnel. 

En 2022, Kaspersky ICS CERT a remarqué une nouvelle tendance dans les tactiques APT, rendant la question de la configuration des solutions encore plus vitale. Par exemple, lorsqu’ils cherchent des moyens de se déplacer latéralement, les attaquants ne s’arrêtent plus au détournement de systèmes informatiques critiques, comme les contrôleurs de domaine. Ils passent à la cible suivante : les serveurs d’administration des solutions de sécurité. Les objectifs peuvent varier, allant de l’inscription du logiciel malveillant sur une liste de programmes qui ne seront pas surveillés par le système, à l’utilisation d’outils pour propager le malware dans d’autres systèmes, même ceux qui sont censés être complètement séparés du réseau infecté.

L’absence de protection numérique dans les réseaux OT

Bien qu’il soit sans doute difficile de le croire, les solutions de cybersécurité ne sont parfois pas du tout installées sur de nombreux terminaux de nombreux réseaux OT. Même si le réseau OT est bien séparé des autres réseaux et n’est pas connecté à l’internet, les attaquants ont toujours des moyens d’y accéder. Par exemple, ils peuvent créer des versions spéciales de logiciels malveillants, distribuées via des lecteurs amovibles, comme des clés USB. 

Des défis liés aux mises à jour de sécurité pour les postes de travail et les serveurs

Les systèmes de contrôle industriel ont un mode de fonctionnement unique, où même des tâches simples comme l’installation de mises à jour de sécurité sur les postes de travail et les serveurs nécessitent des tests minutieux. Ces tests ont souvent lieu pendant les périodes de maintenance programmée, ce qui rend les mises à jour peu fréquentes. Les acteurs de la menace ont ainsi tout le temps d’exploiter les vulnérabilités connues et de mener à bien leurs attaques. 

« Dans certains cas, la mise à jour du système d’exploitation du serveur peut nécessiter la mise à jour d’un logiciel spécialisé (comme le serveur SCADA), qui à son tour nécessite la mise à niveau de l’équipement, ce qui peut s’avérer trop coûteux. Par conséquent, on trouve des systèmes obsolètes sur les réseaux de systèmes de contrôle industriels », ajoutent les experts. « Il est surprenant de constater que même les systèmes connectés dans les entreprises industrielles, qui peuvent être relativement faciles à mettre à jour, peuvent rester vulnérables pendant une longue période. Cela expose la technologie opérationnelle (OT) à des attaques et à des risques sérieux, comme l’ont montré des scénarios d’attaque réels. » 

D’autres conseils sont publiés sur le blog de Kaspersky ICS CERT, relatifs à la configuration et aux paramètres des solutions de sécurité, à l’isolation du réseau OT, à la protection des systèmes, à l’exécution de systèmes d’exploitation, de logiciels d’application et de microprogrammes d’appareils obsolètes. 

Les experts de Kaspersky recommandent de protéger votre organisation contre les menaces en question :

  • Si une entreprise dispose de technologie opérationnelle (OT) ou d’une infrastructure critique, il faut s’assurer que ces dernières sont bien séparées du réseau de l’entreprise ou au moins qu’il n’y a pas de connexions non autorisées. 

  • Effectuez régulièrement des audits de sécurité des systèmes OT afin d’identifier et d’éliminer les éventuelles vulnérabilités. 

  • Mettez en place un processus continu d’évaluation et de gestion des vulnérabilités. 

  • Utilisez des solutions de surveillance, d’analyse et de détection du trafic sur le réseau ICS pour une meilleure protection contre les attaques susceptibles de menacer les processus technologiques et les principaux actifs de l’entreprise.

  • Veillez à protéger les terminaux industriels aussi bien que les terminaux de l’entreprise.

  • Pour avoir une vue d’ensemble plus réaliste des risques associés aux vulnérabilités des solutions OT et prendre des décisions éclairées pour les atténuer.

  • Il est crucial de former les équipes de sécurité informatique et les ingénieurs OT à la sécurité ICS pour améliorer la réponse aux techniques malveillantes nouvelles et avancées.