Les agences fédérales mondiales tirent la sonnette d'alarme face à une augmentation des cyberattaques menées par des groupes hacktivistes pro-russes ciblant les appareils de technologie opérationnelle (OT) dans les infrastructures critiques en Amérique du Nord et en Europe.

La Cybersecurity and Infrastructure Security Agency (CISA), le FBI, la NSA, l'EPA, le DOE, l'USDA, la FDA, l'ISAC multi-états, le Centre canadien pour la cybersécurité et le Centre national de cybersécurité du Royaume-Uni ont observé que ces acteurs malveillants compromettaient le contrôle industriel à petite échelle. des systèmes tels que les interfaces homme-machine (IHM) utilisés dans les installations d’eau/eaux usées, les barrages, l’énergie et l’alimentation/agriculture.

« Les organisations auteurs sont conscientes du fait que des hacktivistes pro-russes ciblent et compromettent les systèmes OT à petite échelle dans les systèmes d’eau et de traitement des eaux usées, les barrages, l’énergie et les secteurs de l’alimentation et de l’agriculture en Amérique du Nord et en Europe », ont déclaré les agences.

« Ces hacktivistes cherchent à compromettre les systèmes de contrôle industriels modulaires exposés à Internet via leurs composants logiciels, tels que les IHM, en exploitant les logiciels d'accès à distance de l'informatique en réseau virtuel (VNC) et les mots de passe par défaut. »

Bien que les techniques utilisées soient relativement peu sophistiquées, les autorités préviennent que les hacktivistes démontrent des capacités qui pourraient permettre des perturbations physiques dans des environnements OT non sécurisés. Les tactiques observées incluent l'exploitation de connexions Internet exposées au public, l'utilisation de mots de passe par défaut ou faibles sans authentification multifacteur et la manipulation à distance des paramètres de l'IHM.

« Dans chaque cas, les hacktivistes ont maximisé les points de consigne, modifié d'autres paramètres, désactivé les mécanismes d'alarme et modifié les mots de passe administratifs pour verrouiller les opérateurs », explique l'avis. « Certaines victimes ont connu des débordements mineurs de réservoir ; cependant, la plupart sont revenus aux commandes manuelles et ont rapidement rétabli les opérations.

Début 2024, les agences ont répondu à plusieurs installations de traitement de l'eau et des eaux usées aux États-Unis qui ont connu des « perturbations physiques limitées » lorsque des utilisateurs non autorisés ont manipulé à distance les IHM pour ajuster dangereusement les paramètres des pompes et des soufflantes avant de verrouiller les opérateurs légitimes.

L'avis conjoint fournit des mesures d'atténuation et des ressources étendues aux propriétaires d'infrastructures critiques et aux fabricants d'OT pour améliorer leurs cyberdéfenses. Les principales recommandations comprennent :

  • Déconnectez les IHM/contrôleurs exposés à Internet et exigez des VPN multifacteur pour l'accès à distance
  • Implémentez des mots de passe forts et uniques et éliminez toutes les informations d'identification par défaut
  • Gardez le logiciel VNC corrigé et à jour
  • Autoriser uniquement les adresses IP des appareils autorisés et activer la journalisation des accès
  • Maintenir à jour les schémas de réseau et les configurations des périphériques de sauvegarde
  • Remplacez tout équipement OT en fin de vie dès que possible
  • Pour les fabricants : éliminez les mots de passe par défaut, imposez plusieurs facteurs pour un accès privilégié, incluez la journalisation et publiez les nomenclatures des logiciels.

« Bien que les organisations d'infrastructures critiques puissent prendre des mesures pour atténuer les risques, il incombe en fin de compte au fabricant d'appareils OT de créer des produits sécurisés par conception et par défaut », indique l'avis. « Les organisations auteurs exhortent les fabricants d’appareils à s’approprier les résultats en matière de sécurité de leurs clients. »

Les agences soulignent que même si les hacktivistes ont historiquement exagéré leurs capacités, l’accès obtenu aux systèmes de contrôle industriels démontre le potentiel d’impacts réels bien plus importants si les vulnérabilités ne sont pas corrigées.

Les organisations affectées par cette activité ou d'autres incidents suspects sont encouragées à les signaler rapidement à la CISA, au FBI, aux ISAC concernés et aux agences de gestion des risques du secteur.