Cyberveille relative au secteur de l'énergie

CYBERMENACES DANS LE SECTEUR DE L'ÉNERGIE

Les entreprises du secteur de l'énergie sont sous la menace des types d'attaquants suivants :

  • Les groupes APT1 convoitent des informations susceptibles d'aider l'État commanditaire à assurer sa sécurité et sa prospérité économique. Ils cherchent principalement à voler des informations sur la prospection de ressources naturelles et les contrats d'énergie. En cas de conflit, ils peuvent également mener des actions de destruction et de sabotage contre les infrastructures énergétiques d'un pays ennemi.
  • Les hacktivistes peuvent s'emparer de sujets polémiques pour cibler des sociétés du secteur de l'énergie. Ils peuvent lancer des attaques par déni de service distribué (DDoS), défigurer le site Web d'une société ou lui voler à des informations privées et les divulguer pour la discréditer et promouvoir une cause particulière.
energy cyber threats

Horizon des menaces & perspectives pour le secteur

Selon toute vraisemblance, le secteur de l'énergie restera une cible de prédilection pour les pirates, tout particulièrement en raison de son importance pour la sécurité et l'économie d'un pays. D'après nos études, les facteurs ci-dessous sont susceptibles d'intensifier les menaces dirigées contre le secteur :

  • Au vu des préoccupations de rentabilité actuelles, l'effondrement continu des prix du pétrole pourrait modifier la valeur accordée par les groupes APT aux informations dérobées sur les technologies de forage du gaz ou du pétrole.
  • Les innovations constantes dans le développement de combustibles fossiles et la production d'énergies de substitution augmentent le risque de cyberespionnage par des groupes APT recrutés pour s'emparer de données de capital intellectuel et propriétaires au profit d'entreprises publiques du pays commanditaire.
  • Enfin, la hausse de la demande mondiale en énergie et l'appauvrissement des ressources naturelles devraient entraîner une progression du cyberespionnage pour le compte de certains États en quête de renseignements leur permettant de prendre l'avantage dans la course à la sécurité énergétique.
  • Des groupes APT présumés basés en Russie ont été pris en flagrant délit d'espionnage alors qu'ils menaient une opération de reconnaissance ciblant des systèmes ICS et SCADA.
  • En cas de conflit entre nations, des pirates commandités par un État peuvent tenter de resserrer l'étau sur un pays rival en perturbant son approvisionnement en énergie.
  • Les questions environnementales et d'autres polémiques autour de la production d'énergie peuvent également déclencher des actions d'hacktivistes désireux de sensibiliser l'opinion publique et de discréditer des sociétés fautives à leurs yeux.
Nous avons observé au moins 16 groupes responsables d'attaques avancées visant des entreprises appartenant aux sous-secteurs d'activité ci-dessous :
  • Développement d'énergies alternatives
  • Extraction houillère
  • Développement de l'énergie nucléaire
  • Commercialisation & distribution de gaz naturel
  • Exploration & production pétrolière & gazière
  • Fabrication d'équipements pour l'exploitation pétrolière & gazière
  • Exploitation de gisements d'hydrocarbures & raffineries de pétrole
Types de données volées à des entreprises du secteur de l'énergie
  • Types de données volées à des entreprises du secteur de l'énergie
  • Informations sur des processus métier
  • Informations sur les négociations de contrats
  • Communications des dirigeants
  • Études de marché
  • Technologies propriétaires

Étude de cas : UN GROUPE APT PREND UNE RAFFINERIE POUR CIBLE

Il y a quelque temps, nous sommes intervenus sur un cas présumé de compromission du réseau d'une raffinerie pétrolière. Notre enquête a révélé que pour s'introduire sur le réseau, les attaquants ont d'abord effectué un repérage des vulnérabilités, puis lancé des attaques par injection SQL contre les sites Web de l'entreprise. Une fois sur le réseau, ils ont compromis au moins 50 systèmes et volé plus de 4 gigaoctets de données d'une division responsable de la prospection et de la production de combustibles fossiles.

Cyber Threats to Energy Sector

PRINCIPAUX MALWARES DÉTECTÉS

FireEye a constaté une récurrence des familles de malwares utilisées lors de compromissions d'entreprises du secteur de l'énergie. En voici l'inventaire :

SOGU (ou Kaba, ou PlugX) Backdoor (porte dérobée) capable d'exécuter une série de fonctions : chargement et téléchargement de fichiers, exécution de processus arbitraires, accès aux systèmes de fichiers, au registre et à la configuration des services, accès shell distant, et implémentation d'un protocole personnalisé de type VNC/RDP pour octroyer au serveur de commande et contrôle (CnC) un accès graphique à l'ordinateur infecté.
ADDTEMP (ou Desert Falcon et Arid Viper) Malware pouvant être distribué via une attaque de spear phishing. Il est capable d'une série de fonctions : captures d'écran, enregistrement des saisies clavier, chargement et téléchargement de fichiers, vol de mots de passe stockés dans le registre système, et extraction des informations relatives à tous les fichiers .doc et .xls stockés sur le disque dur ou les équipements USB connectés.
WITCHCOVEN Script de profilage conçu pour obtenir des informations sur les systèmes d'exploitation, les navigateurs et les applications utilisés par les visiteurs de sites Web. Nous soupçonnons les auteurs de menaces APT d'utiliser ces scripts à des fins de footprinting — une technique de récolte d'informations utilisée pour établir le profil des systèmes informatiques et des entreprises qui les exploitent.
Gh0stRAT Outil d'administration à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
SpyNet Outil d'administration à distance (RAT) disponible sur Internet, SpyNet permet aux attaquants d'interagir avec un système compromis via un shell distant, charger et télécharger des fichiers, interagir avec le registre, et démarrer et arrêter des services et processus. SpyNet peut capturer des images du bureau d’un ordinateur, réaliser des enregistrements via une webcam et des entrées audio, extraire des mots de passe enregistrés et transformer un système compromis en serveur proxy. SpyNet intègre également une fonctionnalité d'enregistrement des saisies clavier et des mécanismes de protection contre le débogage et les machines virtuelles.

PRINCIPAUX CRIMEWARES DÉTECTÉS

D'après le serveur sinkhole et les données partagées dynamiquement par FireEye, les variantes de crimeware les plus fréquemment détectées dans le secteur de l'énergie sont les suivantes :

Jenxcus (ou njw0rm et njworm) Évolution du célèbre malware njRAT, Jenxcus inclut des fonctionnalités supplémentaires telles que le vol d'identifiants ou la capacité à se propager sur des supports de stockage amovibles. Il est souvent distribué via des liens malveillants inclus dans les e-mails, ou des téléchargements drive-by sur des sites compromis.
HOUDINI (ou H-Worm) Outil d'administration à distance (RAT) VBS, qui utilise HTTP pour communiquer des informations sur le système compromis, telles que le système d'exploitation, le nom de l'hôte et le nom d'utilisateur. Dans certains cas, le fichier VBS est masqué par plusieurs méthodes de dissimulation, dont des codages Base64 personnalisés. Il prend en charge plusieurs commandes et fonctions, telles que l'exécution en ligne de commande, le téléchargement et l'exécution de programmes, et le vol de données.
JpiProx Cheval de Troie qui s'installe sous la forme d'un add-on du navigateur et injecte des publicités dans les sites Web visités. Il peut également installer d'autres malwares. JpiProx se fait passer pour un plug-in du navigateur pour déclencher des clics frauduleux sur des publicités qui génèrent des revenus pour les cybercriminels. Pour ce faire, il injecte des publicités dans les pages Web visitées par les utilisateurs d'un hôte infecté. Il peut également installer d'autres malwares ou programmes indésirables tels qu'un logiciel de proxy Web, lequel peut être utilisé pour détourner le trafic indésirable vers les hôtes infectés afin de masquer son emplacement d'origine. Ce cheval de Troie peut également exfiltrer les informations relatives au système infecté, ainsi qu'une liste des sites Web visités et d'autres informations.
Zeroaccess (ou Sirefef) Cheval de Troie offrant des fonctionnalités avancées de rootkit. Conçu au départ comme un mécanisme de diffusion d'autres types de malwares, il a été reprogrammé pour pouvoir exécuter des fraudes au clic.
Upatre Programme de téléchargement de chevaux de Troie. Une fois infiltré sur un système (généralement via un e-mail de spam, un téléchargement drive-by ou un exploit), Updatre y télécharge un ou plusieurs autres types de malwares. Selon nos observations, Upatre distribue un large éventail de malwares, notamment Zbot, Dyre, Rovnix, CryptoLocker et Necurs.

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.