Crypto


Selon une socit de cyberscurit engage par Colonial Pipeline dans le cadre de la rponse lattaque par ransomware, des pirates informatiques ont accd aux rseaux du plus grand oloduc des tats-Unis en avril l’aide d’un mot de passe compromis. Ce qui a entran la fermeture dlibre de la socit de distribution de carburant et la panique qui a suivi pendant plusieurs jours. Le mot de passe tait li un compte de rseau priv virtuel dsaffect qui tait utilis pour l’accs distance, a confirm le vice-prsident senior de Mandiant – la division criminalistique de FireEye. Le compte en question n’tait pas non plus protg par une couche de scurit supplmentaire connue sous le nom d’authentification multi-facteurs.

Tout s’est jou sur un mot de passe. C’est la conclusion de Charles Carmakal de Mandiant, charg par Colonial Pipeline de dcouvrir comment les pirates ont pu mettre hors service le plus grand pipeline de carburant du pays, lors dune interview. Selon lexpert en cyberscurit, les pirates informatiques lis au groupe de cybercriminels oprateurs du ransomware DarkSide ont utilis un seul mot de passe compromis sur un rseau priv virtuel (VPN), accdant aux serveurs de Colonial le 29 avril par le biais d’un compte qui n’tait plus utilis, mais qui pouvait encore accder aux rseaux de la socit.

La faon dont les attaquants ont obtenu le mot de passe compromis n’est pas claire. Mais la rvlation de la faon dont les pirates ont pu mettre genoux une entreprise de la chane d’approvisionnement critique avec quelque chose d’aussi simple souligne les risques graves poss non seulement par les cybercriminels opportunistes, mais aussi par le manque d’hygine numrique de certaines grandes entreprises amricaines.

La cyberattaque contre Colonial qui a t rvle l’aube du 7 mai lorsqu’un employ a trouv une demande de ranon de la part des cybercriminels sur un ordinateur de la salle de contrle a t attribue par les autorits amricaines une bande de pirates informatiques qui oprent avec le ransomware DarkSide. Le groupe russophone, qui serait bas en Europe de l’Est, se spcialise dans l’laboration des logiciels malveillants utiliss pour pntrer dans les systmes et les met la disposition de ses affilis, en change d’une partie des ranons obtenues.

Comme de nombreux autres groupes de ransomware, DarkSide a cibl de grandes organisations ayant des polices d’assurance cyberntique et d’normes volumes de donnes sensibles sur les consommateurs qui les rendent plus susceptibles de payer une ranon, selon les experts en cyberscurit. Dans le cas de Colonial, son PDG Joseph Blount a dclar avoir autoris le paiement d’une ranon de 4,4 millions de dollars peu aprs le piratage. Les pirates avaient vol prs de 100 gigaoctets de donnes de Colonial Pipeline et menaaient de les divulguer si la ranon n’tait pas paye.

Mais lors de sa premire dclaration publique aprs lattaque, Blount a dit avoir immdiatement autoris le paiement de la ranon parce que les dirigeants n’taient pas srs de la gravit de la cyberattaque qui avait port atteinte ses systmes ni du temps qu’il faudrait pour remettre le pipeline en tat. Blount a reconnu publiquement qu’il s’agissait d’une option qu’il estimait devoir utiliser, compte tenu des enjeux lis la fermeture d’une infrastructure nergtique aussi essentielle.

La semaine prochaine, Blount doit tmoigner devant les commissions de la scurit intrieure du Snat et de la Chambre des reprsentants, o il devrait tre press de fournir des dtails sur la chronologie de l’attaque et la rponse de Colonial. Le ministre amricain de la Justice a rcemment annonc qu’il prvoyait d’accorder aux affaires de ransomware – semblables celle lance contre la socit Colonial Pipeline base en Gorgie le mois dernier – la mme priorit qu’aux affaires de terrorisme.

Un compte VPN nutilisant pas l’authentification multi-facteurs a facilit laccs

Carmakal a not lors de linterview que le mot de passe en question aurait t trouv parmi d’autres mots de passe divulgus sur le dark web, cela suggre qu’un employ de Colonial peut avoir utilis le mme mot de passe dun compte Colonial dormant sur un autre compte qui a t pirat prcdemment, a-t-il ajout. Carmakal a ajout toutefois qu’il n’est pas sr 100 % que le dark web est la source du mot de passe dans cette attaque particulire, notant que cette source pourrait ne jamais tre dcouverte.

Dans un prcdent rapport, CNN a rapport que le jour o l’incident a t signal, la porte de Colonial tait grande ouverte , selon une source familire avec les cyberdfenses de l’entreprise. Les mots de passe constituaient une vulnrabilit particulire, selon la source. Colonial Pipeline n’a pas donn de dtails spcifiques sur son protocole de scurit des mots de passe au moment de l’attaque par ransomware, mais a dclar que le processus de rinitialisation des mots de passe et les normes de complexit sont automatiss.

Aprs une “recherche assez exhaustive”, Carmakal note qu’il n’est pas clair non plus comment les pirates ont mis la main sur le nom d’utilisateur compromis qui accompagnait le mot de passe, car ils auraient pu le trouver dans une fuite ou simplement exprimenter jusqu’ ce qu’ils le trouvent par eux-mmes. Ce qui est inquitant du point de vue de la cyberscurit, c’est que le compte VPN maintenant dsactiv ne bnficiait pas de l’authentification multi-facteurs, une couche de protection de base qui aurait exig plus qu’un nom d’utilisateur et un mot de passe pour accder au rseau.

Ils n’ont pas mis en uvre l’authentification multi-facteurs sur leurs VPN. Il s’agit de l’un des vecteurs d’attaque les plus courants. Les VPN eux-seuls ne suffisent pas , a dclar un commentateur.

Nous avons effectu une recherche assez exhaustive de l’environnement pour essayer de dterminer comment ils ont obtenu ces informations d’identification , a dclar Carmakal. Nous ne voyons aucune preuve d’hameonnage pour l’employ dont les informations d’identification ont t utilises. Nous n’avons pas vu d’autres preuves de l’activit de l’attaquant avant le 29 avril .

Mandiant a balay le rseau pour comprendre jusqu’o les pirates avaient pu s’aventurer, tout en installant de nouveaux outils de dtection qui alerteraient Colonial en cas d’attaques ultrieures, ce qui n’est pas rare aprs une violation importante, selon Carmakal. Les enquteurs n’ont trouv aucune preuve que le mme groupe de pirates ait tent de reprendre l’accs.

Selon Carmakal, Mandiant a galement suivi les mouvements des pirates sur le rseau afin de dterminer dans quelle mesure ils ont pu compromettre les systmes adjacents au rseau d’ordinateurs qui contrle le flux de carburant. Si les pirates se sont effectivement dplacs au sein du rseau informatique de la socit, selon Carmakal, rien n’indiquait qu’ils taient en mesure de pntrer dans les systmes technologiques oprationnels plus critiques, a-t-il dclar. Ce n’est qu’aprs que Mandiant et Colonial ont pu dterminer de manire concluante que l’attaque avait t contenue qu’ils ont envisag de rouvrir leur pipeline, a dclar Blount qui a particip linterview le vendredi.

La nouvelle de la source de lattaque intervient la suite d’une autre cyberattaque lance le week-end dernier contre JBS SA, la plus grande usine de transformation de viande au monde. Les responsables de la Maison-Blanche pensent que des hackers bass en Russie sont l’origine des deux attaques par ransomware. Alors que les usines de JBS se remettent en marche aprs la fermeture de tous les abattoirs amricains de la socit, l’impact de la cyberattaque sur les consommateurs et les restaurants n’a pas encore t pleinement ressenti.

REvil, le groupe de pirates li la Russie que le FBI a dclar responsable de la cyberattaque de JBS, est devenu l’un des groupes de ransomware les plus prolifiques – et les plus connus – de ces dernires annes. Les attaques par ransomware est devenu un problme pineux pour l’administration Biden, notamment aprs l’attaque de Colonial Pipeline.

Le ministre amricain de l’Agriculture a dclar dans un communiqu mardi soir qu’il continue de travailler en troite collaboration avec la Maison-Blanche, le ministre de la Scurit intrieure, JBS USA et d’autres pour suivre de prs cette situation et offrir de l’aide et de l’assistance pour attnuer tout problme potentiel d’approvisionnement ou de prix .

Colonial aurait engag Rob Lee, fondateur et directeur gnral de Dragos Inc, une socit de cyberscurit spcialise dans les systmes de contrle industriels, et John Strand, propritaire et analyste de scurit de Black Hills Information Security, pour le conseiller sur ses cyberdfenses et l’aider viter de futures attaques.

la suite de l’attaque contre son entreprise, Blount a dclar qu’il aimerait que le gouvernement amricain s’attaque aux pirates informatiques qui ont trouv refuge en Russie. En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mmes. En tant qu’entreprise prive, nous n’avons pas la capacit politique de fermer les pays htes qui abritent ces mauvais acteurs .

Source : Mandiant

Et vous ?

Quen pensez-vous ?

Que pensez-vous de la dclaration de Mandiant selon laquelle le mot de passe aurait t trouv sur le dark Web ?

Que pensez-vous du fait que Colonial nutilisait pas l’authentification multi-facteurs sur leurs VPN ?

Voir aussi :

Les USA vont dsormais traiter les attaques aux ranongiciels avec la mme priorit que les cas de terrorisme, en leur appliquant pour la premire fois le mme modle d’investigation

Colonial Pipeline cherchait embaucher un responsable de la cyberscurit, avant que l’attaque par ransomware ne bloque ses activits

Comment les acteurs des ransomwares ajoutent des attaques DDoS leur arsenal, pour augmenter la pression sur les victimes

Axio tend Axio360, un outil gratuit qui permet aux entreprises d’valuer leur niveau de vigilance face aux ransomwares

Back to top button