Les installations de gaz et pétrole US compromises par la Chine
L'alerte de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) fournit des détails sur l'historique des compromissions de réseaux et dénonce le manque de préparation des fournisseurs de systèmes de contrôle industriel (ICS).
Le 20 juillet 2021, l'agence fédérale américaine Cybersecurity and Infrastructure Security Agency (CISA) qui dépend du département de la Sécurité intérieure des États-Unis a publié une alerte (AA-22-2021A) portant sur l'intrusion réussie de la Chine dans les systèmes des entreprises américaines d'oléoducs et de gazoducs entre 2011 et 2013. Dans son alerte, la CISA indique la fréquence à laquelle les attaques se sont produites, le nombre de compromissions confirmées, le nombre de compromissions évitées de justesse et le nombre d'attaques pour laquelle la profondeur d'intrusion n'a pas pu être déterminée.
Des signes d'implication de la Chine
Remonter à la source est une forme d'art et l'un des plus difficiles à réaliser compte tenu de l'évolution constante des méthodes et techniques utilisées par l'entité attaquante, en particulier quand il s'agit d'un État-nation disposant de ressources apparemment illimitées. La CISA, en collaboration avec le FBI, a attribué sans ambiguïté ces attaques à des acteurs parrainés par l'État chinois. Leur cible : les réseaux SCADA (Supervisory Control and Data Acquisition). Les RSSI ne seront pas surpris d'apprendre que les attaques étaient liées à une campagne de harponnage ou « Spear-phishing » réussie qui a débuté en décembre 2011 et s'est poursuivie jusqu'en février 2012.
Quatre tactiques de collectes distinctes ATT&AK de MITRE ont été mises en évidence dans l'alerte de la CISA :
- TA009 - (octobre 2018, mise à jour en juillet 2019) Techniques adverses de collecte d'informations et de sources d'informations.
- TA0010 - (octobre 2018, mise à jour en juillet 2019) Techniques adverses d'exfiltration lors de tentatives de vol de données.
- T1213 - (octobre 2018, dernière mise à jour en avril 2021) Exploitation par les adversaires des référentiels d'informations pour extraire des informations. Il convient de noter la valeur que les données apparemment banales représentent pour les adversaires et tous les RSSI seraient bien avisés de rappeler aux utilisateurs qu'en cas de compromission, les types d'informations suivants mis en évidence dans cette collecte T1213 peuvent fournir à l'équipe de ciblage adverse une pléthore de données pour faciliter les attaques futures.
- Politiques, procédures et normes
- Diagrammes de réseaux physiques/logiques
- Diagrammes d'architecture de système
- Documentation technique du système
- Références de test/développement
- Programmes de travail/projets
- Extraits de code source
- Liens vers des partages réseau et d'autres ressources internes
- T1120 - (mai 2017, mise à jour en mars 2020) Les adversaires tentent de recueillir des informations sur les périphériques attachés.
L'alerte de la CISA montre que la Chine est impliquée dans 13 compromissions d'entreprises sur 23 et relève que 8 de ces dernières ont peut-être été infiltrées, mais que le niveau de compromission est indéterminé. Ce n'est pas exactement le genre d'évènement qu'un RSSI souhaite rapporter à son conseil d'administration. Le plus troublant, et donc le plus digne d'approbation, est peut-être le fait que si les attaquants chinois avaient mieux réussi leurs attaques, ils auraient pu « se faire passer pour des opérateurs systèmes légitimes afin de mener des opérations non autorisées ». Les attaquants ont toutefois obtenu l'accès à un « accès commuté », qui reste un élément central des systèmes de contrôle industriels (ICS) du secteur de l'énergie. Selon l'agence, les pirates chinois ont préparé l'environnement pour des « opérations futures ». En d'autres termes, la Chine prépare l'environnement au cas où la sécurité nationale lui imposerait de perturber, endommager et entraver les réseaux de distribution de pétrole et de gaz naturel aux États-Unis.
La Russie a également ciblé le secteur de l'énergie
L'alerte CISA n'identifie pas les entités chinoises responsables de ces attaques. Cependant, selon un reportage diffusé par ABC News en février 2013 sur l'implication de l'unité chinoise PLA 61398 basée à Pudong, Shanghai, dans les cyberattaques Mandiant/FireEye, celle-ci serait responsable du vol de « centaines de téraoctets de données provenant d'au moins 141 entreprises » depuis 2006, dont au moins 115 se trouvaient aux États-Unis et étaient réparties dans plusieurs secteurs, et notamment celui de l'énergie.
Il n'y a pas si longtemps, en mars 2018, la CISA a publié une alerte similaire pointant les efforts de la Fédération de Russie pour cibler des entités commerciales via les ICS dans les secteurs de l'énergie en utilisant le harponnage, efforts qui leur auraient permis d'obtenir un « accès à distance ». Pendant leur présence au sein du réseau, la CISA a noté de la même manière que les intrus russes « avaient effectué une reconnaissance du réseau, s'étaient déplacés latéralement et avaient collecté des informations relatives aux systèmes de contrôle industriel ICS ».
Investir dans l'infrastructure de cybersécurité
La nécessité pour les RSSI responsables des systèmes de contrôle industriel d'investir dans une cyberinfrastructure de base n'a jamais été aussi évidente que dans ces appels à abandonner l'usage d'une connectivité par ligne commutée dans de leur infrastructure, étant donné les faiblesses de sécurité inhérentes à ces dispositifs. Pour la CISA, cette connectivité offre « un accès direct à l'environnement ICS avec peu ou pas de sécurité et sans surveillance ». D'où la question suivante. Si une entreprise n'a pas de contrôle d'accès ou la capacité de savoir qui accède à son réseau ICS, comment déterminer si elle a été compromise par les Chinois ou les Russes ? L'alerte souligne que 35 % des entreprises ciblées n'ont pas été en mesure de déterminer la profondeur de la pénétration chinoise dans leur ICS. On imagine ces huit RSSI incapables de répondre à la question suivante : « Qu'a fait l'adversaire une fois qu'il a compromis notre réseau ? » Les responsables de la sécurité des systèmes d'information (RSSI) devraient considérer cette information comme une preuve de l'intérêt des États-nations et justifier l'injection de ressources pour renforcer et ajuster leur dispositif de sécurité actuel.