Un groupe APT utilise la porte dérobée ShadowPad et la vulnérabilité de Microsoft Exchange pour attaquer des entreprises via des systèmes d’automatisation des bâtiments.

Un système d’automatisation du bâtiment (BAS) connecte toutes les fonctions présentes à l’intérieur du bâtiment – de l’électricité au système de chauffage en passant par les sécurités incendies et la sécurité – et est géré depuis un centre de contrôle. Une fois qu’un BAS est compromis, toutes les procédures au sein de l’organisation sont exposées au risque, y compris celles relatives à la sécurité de l’information.

Les experts d’ICS CERT de Kaspersky ont été témoins d’attaques sur des organisations au Pakistan, en Afghanistan et en Malaisie dans les secteurs industriels, et des télécommunications. Les attaques étaient menées à travers des tactiques, techniques et procédures uniques (TTPs), qui ont poussé les experts à penser que le même acteur malveillant sinophone était à l’origine de toutes ces attaques. Leur attention a été particulièrement attirée par l'utilisation par l'acteur d'ordinateurs d'ingénierie dans les systèmes d'automatisation des bâtiments, appartenant aux infrastructures des entreprises, comme point d'infiltration - ce qui est inhabituel pour les groupes APT. En prenant le contrôle de ces systèmes, l'attaquant peut atteindre d'autres systèmes, encore plus sensibles, de l'organisation attaquée.

L’investigation a montré que le principal outil du groupe APT était la porte dérobée Shadowpad. Kaspersky a été témoin de l’utilisation de ce malware par plusieurs acteurs APT sinophones. Pendant les attaques de l’acteur observé, la porte dérobée ShadowPad était téléchargée sur les ordinateurs attaqués, sous le couvert de logiciels légitimes. Dans bien des cas, le groupe attaquant exploitait une vulnérabilité connue dans MS Exchange, et a entré les commandes manuellement, ce qui indique la nature hautement ciblée des attaques.

« Les systèmes d'automatisation des bâtiments sont des cibles rares pour les acteurs avancés de la menace. Cependant, ces systèmes peuvent être une source précieuse d'informations hautement confidentielles et peuvent fournir aux attaquants une porte dérobée vers d'autres zones, plus sécurisées, des infrastructures. Comme ces attaques se développent extrêmement rapidement, elles doivent être détectées et atténuées dès les premiers stades. Nous vous conseillons donc de surveiller constamment les systèmes mentionnés, en particulier dans les secteurs critiques, » commente Kirill Kruglov, expert en sécurité à l’ICS CERT de Kaspersky.

Si vous voulez en savoir plus sur les attaques sur les systèmes d’automatisation des bâtiments, RDV sur le site ICS CERT de Kaspersky.

Pour garder vos ordinateurs OT à l’abri des différentes formes de menaces, les experts Kaspersky recommandent de :

-        Mettre régulièrement à jour les systèmes d'exploitation et tout logiciel d'application qui font partie du réseau de l'entreprise. Appliquer les correctifs de sécurité et les patchs aux équipements du réseau OT dès qu'ils sont disponibles.

-        Réaliser des audits de sécurité réguliers des systèmes OT afin d'identifier et d'éliminer les éventuelles vulnérabilités.

-        Utiliser des solutions de surveillance, d'analyse et de détection du trafic réseau OT pour mieux se protéger des attaques qui menacent potentiellement les systèmes OT et les principaux actifs de l'entreprise

-        Fournir une formation dédiée à la sécurité OT pour les équipes de sécurité informatique et les ingénieurs OT. Ceci est crucial pour améliorer la réponse aux techniques malveillantes nouvelles et avancées.

-        Fournir à l'équipe de sécurité chargée de protéger les systèmes de contrôle industriel des renseignements actualisés sur les menaces. Le service ICS Threat Intelligence Reporting fournit des informations sur les menaces et les vecteurs d'attaque actuels, ainsi que sur les éléments les plus vulnérables des systèmes de contrôle industriel et sur la manière de les atténuer.

-        Utiliser des solutions de sécurité pour les terminaux et les réseaux OT, telles que Kaspersky Industrial CyberSecurity, afin de garantir une protection complète de tous les systèmes critiques.

-        Protégez l'infrastructure informatique. Integrated Endpoint Security protège les terminaux de l'entreprise et permet des capacités de détection et de réponse automatisées aux menaces.

A propos de Kaspersky ICS CERT

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) est un projet international lancé par Kaspersky en 2016 pour coordonner les efforts des vendeurs de systèmes d’automatisation, les propriétaires d’équipements industriels et les opérateurs – et les chercheurs en sécurité informatique pour protéger les entreprises industrielles des cyberattaques. Kaspersky ICS CERT consacre principalement ses efforts à l’identification de menaces existantes ou potentielles qui ciblent les systèmes d’automatisation industriels et l’Internet des Objets Industriels. Kaspersky ICS CERT est membre actif, et partenaire d’organisations internationales qui développent des recommandations sur la protection des entreprises industrielles face aux cybermenaces. ics-cert.kaspersky.com

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.

Pour en savoir plus :www.kaspersky.fr