• Les chercheurs d’ESET reviennent sur 17 frameworks malveillants utilisés pour attaquer des réseaux isolés. Il s’agit de tous les frameworks connus à ce jour.
• Un réseau isolé est physiquement isolé de tout autre réseau, notamment pour renforcer la sécurité. Ils sont couramment utilisés pour les systèmes les plus sensibles, tels que les systèmes de contrôle industriel chargés du fonctionnement des pipelines, des réseaux électriques et des centrifugeuses nucléaires, ainsi que les systèmes de vote.
• Ces systèmes critiques sont d’un grand intérêt pour les groupes de pirates qui sont généralement financés par des États ou font partie de leur arsenal. En définitive, lorsqu’un système isolé est infiltré, ces acteurs peuvent intercepter des données confidentielles, et espionner des pays et des entreprises.
• Rien qu’au cours du premier semestre 2020, quatre frameworks malveillants conçus pour attaquer des réseaux isolés ont été détectés et révélés publiquement, portant le nombre total à 17.
• ESET Research propose des conseils de sécurité pour améliorer les défenses des réseaux isolés.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité du poste de travail, présentent leur analyse de tous les frameworks malveillants connus à ce jour pour attaquer des réseaux isolés. Un réseau isolé est physiquement isolé de tout autre réseau afin d’en accroître la sécurité. Cette technique peut contribuer à protéger les réseaux les plus sensibles : les systèmes de contrôle industriel (ICS) qui gèrent les pipelines, les réseaux électriques et les systèmes de vote, et les systèmes SCADA qui gèrent les centrifugeuses nucléaires, pour n’en citer que quelques-uns. Naturellement, les systèmes qui gèrent les infrastructures critiques présentent un grand intérêt pour de nombreux attaquants. Certains d’entre eux sont notamment financés par des États. En définitive, lorsqu’un système isolé est infiltré, il est possible d’intercepter des données confidentielles pour espionner des entreprises ou un pays.
Rien qu’au cours du premier semestre 2020, quatre frameworks malveillants jusqu’alors inconnus et conçus pour pirater des réseaux isolés sont apparus, portant le nombre total à 17.
La découverte et l’analyse de ce type de framework posent des défis uniques, car il existe de multiples composants qui doivent tous être analysés ensemble afin d’obtenir une image complète de la manière dont les attaques sont réellement menées. Grâce aux connaissances rendues publiques par plus de 10 organisations différentes au fil des ans, et quelques analyses ad hoc pour clarifier ou confirmer certains détails techniques, les chercheurs d’ESET, dirigés par Alexis Dorais-Joncas, ont étudiés les frameworks afin de déterminer quels enseignements pourraient être tirés pour les professionnels de la cybersécurité et, dans une certaine mesure, pour le grand public. L’objectif étant l’amélioration de la sécurité des réseaux isolés ainsi que notre capacité à détecter et atténuer les attaques futures. Ils se sont intéressés à chaque framework, les comparant côte à côte dans une étude exhaustive qui révèle plusieurs similitudes majeures, même au sein de ceux produits à 15 ans d’intervalle.
« Les groupes de pirates ont réussi à trouver des moyens sournois de cibler ces systèmes. Même si l’isolement des réseaux se généralise et que les entreprises intègrent des méthodes innovantes de protéger leurs systèmes, les cybercriminels affinent également leurs compétences pour identifier de nouvelles vulnérabilités à exploiter, » explique Alexis Dorais-Joncas, qui dirige l’équipe des chercheurs d’ESET à Montréal.
« Pour les entreprises disposant de systèmes d’information critiques et/ou d’informations classifiées, la perte de données pourrait être extrêmement préjudiciable. Le potentiel de ces frameworks est très inquiétant. Nos conclusions montrent que tous les frameworks sont conçus pour espionner, et tous utilisent des clés USB comme moyen de transmission physique de données vers et depuis les réseaux isolés ciblés, » explique M. Dorais-Joncas.
Compte tenu des risques identifiés, ESET a établi la liste suivante de méthodes de détection et d’atténuation pour protéger les réseaux isolés contre les principales techniques utilisées par tous les frameworks malveillants connus à ce jour :
• Empêchez l’accès à la messagerie sur les hôtes connectés — L’impossibilité d’accéder directement à la messagerie sur les systèmes connectés permettrait d’atténuer ce vecteur courant d’infection. Cela pourrait être mis en œuvre avec une architecture d’isolement des navigateurs/de la messagerie, dans laquelle toute activité associée à la messagerie est effectuée dans un environnement virtuel séparé et isolé.
• Désactivez les ports USB et désinfectez les clés USB — La protection ultime consiste à supprimer ou désactiver physiquement les ports USB sur tous les systèmes fonctionnant dans un réseau isolé. Comme la suppression des ports USB de tous les systèmes peut ne pas être acceptable pour toutes les entreprises, il est possible de limiter les ports USB fonctionnels aux seuls systèmes qui en ont absolument besoin. Un processus de désinfection utilisé avant l’insertion de toute clé USB dans un système isolé pourrait perturber bon nombre des techniques mises en œuvre par les frameworks étudiés.
• Restreignez l’exécution des fichiers à partir des disques amovibles — Plusieurs techniques utilisées pour compromettre les systèmes isolés aboutissent à l’exécution directe d’un fichier stocké quelque part sur le disque, ce qui pourrait être empêché en configurant les politiques pertinentes d’accès au stockage amovible.
• Analysez régulièrement les systèmes — Une analyse régulière des systèmes isolés à la recherche de frameworks malveillants est un élément important de la sécurité afin de préserver la sécurité des données.
Il convient de noter que les produits de sécurité des terminaux sont généralement capables de détecter et de bloquer plusieurs types d’exploitations de vulnérabilités. Le déploiement et l’actualisation régulière de cette technologie permet un impact positif.
« Un système entièrement isolé offre les avantages d’une protection supplémentaire. Mais comme tous les autres mécanismes de sécurité, cet isolement n’est pas une solution miracle et n’empêche pas les acteurs malveillants de s’attaquer aux systèmes obsolètes ou d’exploiter les mauvaises habitudes des employés, » commente Alexis Dorais-Joncas, chercheur chez ESET.
Pour plus de détails techniques sur les frameworks malveillants utilisés pour attaquer des réseaux isolés, lisez le livre blanc « Jumping the Air Gap: 15 years of nation-state effort » et l’article associé sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.