À propos de ce blog

Thèmes Populaires

Norsk Hydro : LockerGoga chiffre tout, expliquent les chercheurs F-Secure

Guillaume Ortega

21.03.19 6 min de lecture

Les cyber attaques ciblant les entreprises continuent de faire la Une des médias. Dernière victime en date : une multinationale norvégienne productrice d’aluminium.

Norsk Hydro affirme avoir subi cette semaine une « cyberattaque de grande envergure, ayant eu des répercussions sur les opérations de l’entreprise, dans plusieurs de ses secteurs d’activité ». Il a été conseillé aux employés de ne connecter aucun de leurs appareils au réseau de l’entreprise, de laisser éteints les appareils hors-tension connectés au réseau et de déconnecter tous les appareils tels que les iPhones.

Le personnel informatique de l’entreprise, l’autorité norvégienne de sécurité nationale (NSM), les services de renseignement militaire (e-tjenesten) et des sous-traitants en cyber sécurité ont commencé à enquêter sur l’incident. Toutes les usines ont été isolées. Le personnel est passé, dans la mesure du possible, à des procédures manuelles. De cette manière, l’entreprise entend « assurer la sécurité des opérations et limiter l’impact opérationnel et financier ».

Le ransomware LockerGoga serait à l’origine de l’attaque. Ce dernier aurait également atteint l’Active Directory (AD) Microsoft, développé pour les réseaux de domaines Windows. Ce ransomware atypique, qui désactive toutes les interfaces réseau et déconnecte les périphériques du réseau, frappe plusieurs PC et serveurs simultanément et demande des privilèges d’administrateur.

Après avoir exécuté certaines commandes, ce ransomware commence immédiatement à chiffrer toutes les données à l’aide de la bibliothèque Boost et de CryptoPP. Il chiffre même les fichiers exe/dll dans ProgramFiles et réalise des dégâts colossaux sur les machines infectées. Il épargne toutefois C:\Windows et ses sous-dossiers. Les fichiers chiffrés portent l’extension « .locked » et LockerGoga fait planter explorer.exe pendant le chiffrement.

Les chercheurs en cyber menaces du Laboratoire F-Secure indiquent que le logiciel malveillant exécute « net.exe » plusieurs fois pour modifier les mots de passe des comptes utilisateurs : le mot de passe devient alors systématiquement « HuHuHUHoHoHo283283@dJD », une chaîne en dur du programme. Le logiciel malveillant déconnecte l’utilisateur, qui peut se reconnecter à partir de ce mot de passe.

LockerGoga fonctionne sans connexion réseau. Il dépose une demande de rançon README_LOCKED.TXT dans le dossier « Public Desktop » (les fichiers du bureau visibles par tous les utilisateurs). La demande de rançon, relativement standard, exige un paiement afin de déchiffrer les fichiers.

Tom Van de Wiele, Principal Security Consultant chez F-Secure, collabore avec les entreprises afin d’améliorer leur sécurité. Il juge important de déterminer désormais qui est à l’origine de l’attaque. D’après lui, il faut également garder à l’esprit qu’il s’agit d’un ransomware et que cette attaque – lancée sur un site industriel – est susceptible d’avoir des conséquences nationales, voire politiques.

« Pour les pirates informatiques, le ransomware est souvent synonyme de rétribution financière quasi-immédiate. Cette attaque a donc peut-être été menée par un hacker opportuniste cherchant à maximiser ses profits en frappant une infrastructure stratégique. Mais les ransomware peuvent parfois servir d’alibi à des cyber acteurs plus ambitieux, comme un État-nation qui souhaiterait tester les capacités d’intervention d’une organisation, ou bien faire diversion », explique-t-il.

Le secteur industriel est l’une des cibles privilégiées des cyber criminels. Dans ce secteur, 86 % des cyber attaques sont des attaques ciblées. 66% font appel au piratage, 34% seulement à des logiciels malveillants. Alors que près de la moitié de ces attaques (47 %) impliquent le vol de propriété intellectuelle à des fins d’avantage concurrentiel, 53 % sont perpétrées par des acteurs affiliés à des États et 35 % par le crime organisé.

Ce secteur fait par ailleurs face à un certain nombre de défis technologiques, avec la convergence des technologies de l’information et des technologies de l’exploitation. Les données doivent passer par tous les systèmes de contrôle distribués présents dans les usines, ce qui implique une connectivité accrue – et croissante – entre l’entreprise et les réseaux de production.

Les technologies d’exploitation diffèrent traditionnellement des technologies de l’information : il s’agit de deux mondes aux visions et aux priorités différentes.  Lorsque les sauvegardes sont insuffisantes et qu’il existe une dépendance accrue à l’égard d’un nombre réduit d’installations, toute perturbation dans la chaîne d’approvisionnement peut avoir des conséquences désastreuses. À l’inverse, consolider les opérations peut affaiblir la résilience et la redondance des opérations : de nouveaux maillons problématiques peuvent alors surgir.

De nombreux systèmes existants opérationnels aujourd’hui ont été construits il y a plusieurs décennies, avant qu’internet ne soit utilisé au quotidien : les cyber attaques ne constituaient pas, à cette époque, une menace réaliste. Le web a soudainement exposé ces systèmes à une myriade d’attaques : en effet, les contrôles de sécurité que nous tenons pour acquis aujourd’hui n’avaient jamais été intégrés à ces protocoles et systèmes.

Les mises à jour et correctifs de sécurité constituent un autre défi à relever, en particulier lorsqu’un système doit fonctionner sans interruption, car il devient difficile de trouver le moment adéquat pour apporter ces améliorations pourtant essentielles. Un système, s’il a coûté plusieurs millions et est conçu pour fonctionner sur plusieurs décennies, ne sera pas facilement abandonné ou remplacé, même s’il est jugé peu sûr.

Généralement, une attaque de la chaîne d’approvisionnement cible une organisation par l’intermédiaire d’un tiers, d’un fournisseur ou d’un partenaire. Elle est conçue pour infiltrer les systèmes d’une entreprise en ciblant les éléments vulnérables de son réseau de partenaires. Le maillon le plus faible de la sécurité d’une entreprise peut alors se trouver à l’extérieur. Mais le plus souvent, les pirates, pour mener leur attaque, ciblent en priorité les humains plutôt que les systèmes : le vecteur d’infection le plus courant est le spear phishing, par e-mail. Les méthodes utilisées par les criminels pour cibler leurs victimes reposent sur l’ingénierie sociale, qui s’appuie sur des services comme LinkedIn.

Au sujet de l’affaire Norsk Hydro, Tom Van de Wiele, Principal Security Consultant chez F-Secure, a déclaré : « Cette cyber menace, décrite comme un ransomware, a pu frapper selon divers angles d’attaque. En effet, dans la mesure où l’entreprise gère un site industriel, elle fait appel à de nombreux prestataires pour l’informatique et d’autres services. »

L’attaque a pu être menée grâce à la présence d’un système vulnérable connecté à internet. Dans ce cas, le hacker peut l’avoir découvert par hasard ou dans le cadre d’une attaque ciblée. Il s’est alors introduit sur le réseau et a tenté d’infecter autant de systèmes que possible. Il se peut également qu’un collaborateur ait introduit ce malware en connectant au réseau un appareil déjà infecté par une attaque opportuniste ou ciblée antérieure. Troisième possibilité, la plus probable : un employé a reçu un e-mail contenant une pièce jointe malveillante.

Les informations relatives aux première et troisième surfaces d’attaque ne sont pas encore toutes disponibles. Concernant la ségrégation réseau, Tom Van de Wiele explique qu’un défaut de sécurité a pu porter atteinte à la séparation entre les réseaux administratifs et les réseaux de production. Autre possibilité : l’attaque était d’une telle ampleur que le hacker était capable de se déplacer d’un réseau à l’autre. « Malheureusement, si l’on se base sur notre expérience en matière de cyber incidents, la première explication est généralement la bonne », explique-t-il.

Il n’est pas possible de déterminer avec précision la date à laquelle la prochaine vulnérabilité ou le prochain exploit sophistiqué sera rendu public. Ce dont nous pouvons être sûrs, en revanche, c’est qu’ils seront ensuite rapidement utilisés par les pirates informatiques pour mener des attaques ciblées ou des campagnes non-spécifiques. Ce n’est souvent qu’une question de jours, sinon d’heures.

 

 

Guillaume Ortega

21.03.19 6 min de lecture

Article mis en avant

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.