Les racines des attaques contre le secteur de l’énergie trouvent leur origine dans le Dark Web

Il le risque d’attaques contre les entreprises opérant dans le secteur de l’énergie est élevé, notamment à la lumière du contexte géopolitique actuel. Ces entreprises sont une cible stratégique pour les groupes criminels voués à activités d’extorsion ainsi que pour les acteurs statutaires qui opèrent dans le but de sabotage et renseignement.

La société de renseignement du dark web Searchlight Cyber ​​​​a publié un rapport intéressant qui analyse comment les acteurs malveillants trouvent un écosystème florissant sur le dark web pour avoir préparé des attaques précisément contre des organisations du secteur de l’énergie.
Les experts soulignent que des attaquants de toutes sortes utilisent le dark web pour accéder à des réseaux précédemment compromis o acquérir des ressources et des informations utiles aux attaques.
Diverses catégories d’acteurs se sont retrouvées sous la loupe, des hackers qui proposent un accompagnement aux différentes étapes d’une attaque contre “courtier d’accès.”
Le rôle de « courtier d’accès » est essentiel dans l’écosystème de la cybercriminalité, ces acteurs faciliter la vente ou l’échange d’un accès initial à des réseaux ou systèmes informatiques. Les informations qu’ils proposent à la vente proviennent d’une compromission antérieure des systèmes cibles ou ont été volées par diverses techniques, telles que du code malveillant ou des campagnes de harponnage.
Ces courtiers ils agissent comme intermédiaires entre les cybercriminels qui obtiennent un accès non autorisé aux réseaux d’une organisation et les acheteurs intéressé par l’achat ou l’utilisation de cet accès pour lancer l’attaque. En pratique, c’est comme si quelqu’un avait obtenu une copie des clés de votre maison et l’avait revendue au plus offrant qui entrerait alors techniquement par effraction dans votre maison pour commettre le crime.
Les informations pour accéder à une entreprise sont souvent proposées sur des forums et des places de marché spécialisés dans le piratage.
L’accès initial au réseau d’une entreprise peut être offert sous diverses formes, telles que la connaissance des informations d’identification de connexion au système pour les connexions commutées, l’accès RDP, les informations d’identification VPN ou les informations d’identification volées pour accéder aux services et aux serveurs.

La surveillance de l’offre est essentielle pour les acteurs de la veille sur les menaces, encore plus pour les entreprises qui sont des cibles potentielles d’attaques qui, en découvrant l’accès à leur réseau, pourraient fermer à temps les portes aux attaquants et éviter des intrusions catastrophiques.

Le rapport Searchlight offre un aperçu intéressant de ce monde sous-marin sur lequel il se concentre achat et vente d’un premier accès aux organismes énergétiques avertissant des risques associés.

Le rapport est basé sur laanalyse des messages publiés entre février 2022 et février 2023 sur des forums de piratage, des sites Web sombres et des marchés utilisés par la cybercriminalité.
Seules les annonces et les discussions proposant et sollicitant un premier accès aux réseaux des organisations du secteur de l’énergie ont été analysées, l’échantillon proposé dans le rapport est un sous-ensemble d’une analyse plus large et comprend des cibles aux États-Unis, au Canada, au Royaume-Uni, en France, en Italie et Indonésie.
Il est immédiatement évident que ces informations sont toujours mises aux enchères, le plus offrant remportera un accès exclusif au réseau de l’entreprise dont les accès sont à vendre.
“L’activité prédominante que nous observons contre l’industrie de l’énergie sur le dark web est les” enchères “pour l’accès initial aux entreprises énergétiques qui ont régulièrement lieu sur les forums du dark web.” lit le rapport publié par les experts. “Les listes incluent également des entreprises de tout le spectre du secteur de l’énergie – en amont, intermédiaire et en aval – dans des sociétés énergétiques traditionnelles telles que le pétrole et le gaz, mais aussi des organisations d’énergie renouvelable.”
L’image suivante montre un exemple d’enchère qui indique le type d’entreprise, sa taille, sa situation géographique, et évidemment le type d’accès. Les règles de participation à l’enchère sont également visibles, à savoir le prix de départ (Start), l’augmentation pour chaque offre (Step), et le prix pour clôturer immédiatement l’enchère, appelé “Bliz”.
Le chiffre d’affaires des entreprises est rapporté car il donne une indication du “potentiel de gain” en cas d’attaque réussie une fois l’entreprise pénétrée.

Les offres analysées comprenaient une prix d’accès initial allant d’aussi peu que 20 $ jusqu’à 2 500 $ en fonction de divers paramètres tels que l’emplacement géographique de l’organisation cible ou le potentiel d’attaques de la chaîne d’approvisionnement.
Ce dernier aspect est intéressant, ou en compromettant une entreprise, il est possible d’impacter un nombre variable d’autres entreprises qui utilisent ses services, atteignant même la paralysie partielle de tout un secteur. C’est ce qui s’est passé lors de l’attaque du Colonial Pipeline aux États-Unis en mai 2021, auquel cas la distribution de carburant du côté est des États-Unis a été fortement impactée et le prix moyen d’un gallon de gaz a atteint des niveaux jamais enregistrés depuis 2014 .
Le plus inquiétant est la présence de discussions et d’offres relatives aux systèmes ICS (système de compteur industriel) et OT (technologie opérationnelle) dont dépendent le fonctionnement des processus industriels des entreprises du secteur de l’énergie et plus généralement tout processus industriel.
Interférer avec ces processus cela pourrait entraîner l’arrêt total des opérations d’une entreprise et même provoquer des accidents pouvant entraîner des catastrophes environnementales ou des pertes de vie.
Les acteurs malveillants surveillés par l’entreprise ont proposé dans certains messages des instructions détaillées sur la façon d’exploiter les vulnérabilités connues dans les systèmes ICS accessibles sur Internet, ainsi que des informations détaillées sur les entreprises qui les utilisent.

“L’intelligence du dark web est un atout précieux pour surveiller la posture de sécurité d’une organisation, aider l’équipe de sécurité à identifier les premiers indicateurs d’attaque et alimenter ses modèles d’analyse des menaces.” conclut Jim Simpson, directeur du renseignement sur les menaces chez Searchlight Cyber. “Même si les entreprises n’ont pas les ressources nécessaires pour mener une chasse aux menaces, les données pourraient être utilisées comme source d’informations et faire des raisonnements et des simulations. Que se passe-t-il si notre VPN a une vulnérabilité et qu’un attaquant l’exploite pour obtenir des informations d’identification pour un privilégié utilisateur en R&D ? Comment réagirions-nous à cet incident ? »