Attaque de pipeline colonial: tout ce que vous devez savoir

Mise à jour: DarkSide a revendiqué la responsabilité de l’épidémie catastrophique de ransomware.

Les conséquences réelles d’une cyberattaque réussie ont été clairement mises en évidence cette semaine avec la fermeture de l’un des plus grands pipelines des États-Unis en raison d’un ransomware. 

Voici tout ce que nous savons jusqu’à présent. 

Le vendredi 7 mai 2021, Colonial Pipeline a déclaré qu’une cyberattaque avait contraint l’entreprise à fermer de manière proactive ses opérations et à geler les systèmes informatiques après avoir été victime d’une cyberattaque. 

Cette mesure « a temporairement interrompu toutes les opérations de pipeline » et la société de cybersécurité FireEye , qui gère l’équipe cyberforensique de Mandiant, aurait été sollicitée pour apporter son aide. 

Qu’est-ce que Colonial Pipeline?

Fondée en 1962 et basée à Alpharetta, en Géorgie, la société privée  Colonial Pipeline  est l’un des plus grands exploitants de pipelines aux États-Unis et fournit environ 45% du carburant de la côte Est, y compris l’essence, le diesel, le mazout domestique, le carburéacteur et fournitures militaires. 

La société affirme qu’elle transporte plus de 100 millions de gallons de carburant par jour à travers une zone s’étendant du Texas à New York.

Comment l’attaque du ransomware Colonial Pipeline s’est-elle produite?

Il y a peu de détails concrets sur la façon dont la cyberattaque a eu lieu, et il est probable que cela ne changera pas tant que Colonial Pipeline et la société tierce chargée d’enquêter n’auront pas achevé leur analyse de l’incident. 

Cependant, ce qui s’est produit, c’est une épidémie de ransomware, liée au groupe DarkSide, qui a frappé les réseaux de Colonial Pipeline. 

Le vecteur d’attaque initial n’est pas connu, mais il peut s’agir d’une ancienne vulnérabilité non corrigée dans un système; un e-mail de phishing qui a réussi à tromper un employé; l’utilisation d’informations d’identification d’accès achetées ou obtenues ailleurs qui ont déjà été divulguées, ou tout autre nombre de tactiques utilisées par les cybercriminels pour infiltrer le réseau d’une entreprise.

Il convient de noter que les opérateurs de DarkSide ont ciblé le côté commercial plutôt que les systèmes opérationnels, ce qui implique que l’intention était axée sur l’argent plutôt que conçue pour faire s’écrouler le pipeline.

Le géant pétrolier a déclaré avoir « mis hors ligne de manière proactive certains systèmes pour contenir la menace, ce qui a temporairement interrompu toutes les opérations de pipeline et affecté certains de nos systèmes informatiques ».

La mise à jour de Colonial Pipeline,  publiée le lundi 10 , indique que l’assainissement est en cours et que chaque système est en cours d’élaboration dans une «approche progressive».

« Ce plan est basé sur un certain nombre de facteurs dont la sécurité et la conformité motivent nos décisions opérationnelles, et l’objectif de restaurer substantiellement le service opérationnel d’ici la fin de la semaine », a ajouté la société. 

Dans une autre mise à jour, Colonial Pipeline a déclaré qu’une ligne fonctionne sous contrôle manuel tandis que les approvisionnements en gaz sont «disponibles».

«Bien que nos lignes principales soient toujours hors ligne, certaines lignes latérales plus petites entre les terminaux et les points de livraison sont désormais opérationnelles. Nous continuons d’évaluer l’inventaire des produits dans les réservoirs de stockage de nos installations et d’autres le long de notre système et travaillons avec nos expéditeurs pour déplacer ce produit aux terminaux pour une livraison locale. « 

Pourquoi l’attaque du ransomware Colonial Pipeline est-elle importante?

carte-du-système-de-pipeline-colonial.jpg

Comme le montre la carte des opérations de la société, en supprimant les systèmes de soutien et de gestion de l’exploitation des pipelines et de la distribution de carburant, de vastes étendues des États-Unis ont été touchées. 

Au moment de l’attaque, les problèmes de pénurie d’approvisionnement ont poussé les contrats à terme sur l’essence à atteindre leur plus haut niveau en  trois ans . La demande a augmenté, mais les conducteurs sont exhortés à ne pas paniquer à l’achat, car cela pourrait avoir un impact sur les prix qui ont déjà augmenté en raison de la perturbation du pipeline  de six cents  le gallon la semaine dernière. 

Étant donné que les opérations normales ne devraient pas reprendre avant, au mieux, la fin de la semaine, nous sommes susceptibles de constater des fluctuations – et potentiellement de nouvelles hausses de prix – des approvisionnements en carburant dans les zones touchées aux États-Unis. 

Le président américain Biden a également été informé de l’événement. Si quelque chose met en évidence à quel point une cyberattaque est devenue grave, c’est bien celle-ci. 

Voir aussi:  Ransomware vient de devenir très réel. Et ça va probablement empirer

Y aura-t-il des pénuries de gaz?

capture d'écran-2021-05-12-at-12-15-13.pngPatrick De Haan

Tard mardi soir, l’attachée de presse de la Maison Blanche, Jen Psaki, a déclaré que le gouvernement américain «surveillait les pénuries d’approvisionnement dans certaines parties du sud-est», comme le rapporte The Independent, et «évaluait toutes les mesures que l’administration peut prendre pour atténuer l’impact autant que possible. . « 

En d’autres termes, c’est possible. La perturbation des lignes d’approvisionnement pendant potentiellement une semaine complète, voire plus, pourrait entraîner des problèmes d’approvisionnement pour les consommateurs, l’aviation et l’armée – en particulier si l’incident de sécurité incite les premiers à paniquer. Certaines stations-service ont déjà commencé à fonctionner à sec et des achats de panique ont été signalés dans certaines régions. 

Le 12 mai, Colonial Pipeline a déclaré que la société continuait de «progresser dans nos efforts 24 heures sur 24 pour remettre notre système en service».

Des systèmes latéraux supplémentaires sont maintenant exploités manuellement pour livrer les approvisionnements, la priorité étant donnée aux zones qui ne sont pas prises en charge par d’autres services de livraison de carburant ou qui connaissent actuellement des pénuries. 

Plus de 50 membres du personnel marchent ou conduisent maintenant le long de plus de 5 000 milles de pipeline par jour, en plus des patrouilles aériennes accrues. 

Depuis que le système de pipeline a été mis hors ligne, la société a livré environ 41 millions de gallons de carburant. 

Colonial Pipeline collabore avec le Département américain de l’énergie (DOE) pour «évaluer les conditions du marché» et livrer les fournitures là où elles sont le plus nécessaires. 

84 millions de gallons de carburant ont été acceptés des raffineries pour «déploiement au redémarrage» du réseau de l’entreprise. 

Le 13 mai, la société a déclaré  que les opérations avaient redémarré, mais que la chaîne d’approvisionnement de livraison pourrait prendre plusieurs jours pour revenir à la normale.

«Certains marchés desservis par Colonial Pipeline peuvent subir ou continuer de subir des interruptions de service intermittentes pendant la période de démarrage», a commenté Colonial Pipeline. « Colonial déplacera autant d’essence, de diesel et de carburéacteur que possible en toute sécurité et continuera de le faire jusqu’à ce que les marchés reviennent à la normale. »

Des agences se sont-elles impliquées?

FMCSA

Pour maintenir la circulation des approvisionnements, la Federal Motor Carrier Safety Administration (FMCSA) de l’USDOT a publié   dimanche 9 une déclaration d’urgence régionale , assouplissant les restrictions standard sur le transport terrestre de carburant et les heures de travail autorisées des conducteurs. 

« La FMCSA délivre une exemption temporaire d’heures de service qui s’applique aux personnes transportant de l’essence, du diesel, du carburéacteur et d’autres produits pétroliers raffinés vers l’Alabama, l’Arkansas, le district de Columbia, le Delaware, la Floride, la Géorgie, le Kentucky, la Louisiane, le Maryland, le Mississippi Jersey, New York, Caroline du Nord, Pennsylvanie, Caroline du Sud, Tennessee, Texas et Virginie », a déclaré l’agence  . 

Le FBI
Le Federal Bureau of Investigation (FBI) des États-Unis est également au courant de l’incident. Le 10 mai, l’ agence d’ application de la loi  a déclaré :

« Le FBI confirme que le ransomware Darkside est responsable de la compromission des réseaux de Colonial Pipeline. Nous continuons à travailler avec la société et nos partenaires gouvernementaux sur l’enquête. »

CISA

La Cybersecurity and Infrastructure Security Agency (CISA), en collaboration avec le FBI, a émis une alerte pour avertir les organisations que les affiliés de DarkSide «ont récemment ciblé des organisations de divers secteurs CI, notamment la fabrication, le juridique, les assurances, la santé et l’énergie». Les meilleures pratiques et recommandations en matière de cybersécurité ont également été fournies.

Qui est DarkSide?

capture d'écran-2021-05-12-at-11-53-15.pngSophos

DarkSide est un groupe  Ransomware-as-a-Service (RaaS)  qui propose sa propre marque de logiciels malveillants aux clients sur la base d’un abonnement. Le ransomware est actuellement en version 2. 

Selon  IBM X-Force , le logiciel malveillant, une fois déployé, vole des données, crypte les systèmes à l’aide des protocoles de cryptage Salsa20 et RSA-1024 et exécute une commande PowerShell encodée pour supprimer les clichés instantanés de volume.

SecureWorks les suit comme  Gold Waterfall  et attribue au groupe le statut d’ancien affilié russophone du service de rançon REvil RaaS. 

Un décrypteur pour le malware DarkSide sur les machines Windows a été publié par  Bitdefender en janvier  2021. En réponse, le groupe a déclaré que le décrypteur était basé sur une clé précédemment achetée et pourrait ne plus fonctionner car « ce problème a été corrigé ». 

Bitdefender a déclaré à ZDNet que l’outil de décryptage ne fonctionnait malheureusement pas avec la dernière version du malware DarkSide. 

«Nous travaillons constamment sur de nouvelles versions de nos outils, car les cybercriminels corrigent les vulnérabilités qui rendent le décryptage possible», a ajouté la société.

Bien que considéré comme relativement nouveau sur la scène des ransomwares, repéré pour la première fois à l’été 2020, DarkSide a déjà créé un site Web de fuite utilisé dans des campagnes de double extorsion, dans lesquelles les entreprises victimes sont non seulement exclues de leurs systèmes, mais ont également leur informations volées. 

Si ces organisations refusent de payer, les données volées peuvent être publiées sur la plateforme et mises à la disposition du public. 

DarkSide ne se contente pas de gagner de l’argent grâce aux demandes de ransomwares, cependant, comme le groupe l’a indiqué, il travaillerait volontiers avec des concurrents ou des investisseurs avant la publication des fuites.

«Si l’entreprise refuse de payer, nous sommes prêts à fournir des informations avant la publication, afin qu’il soit possible de gagner de la réduction du prix des actions», précise le groupe. 

Lire la suite:  DarkSide expliqué: le groupe de ransomwares responsable de la cyberattaque de Colonial Pipeline

Peut-être inhabituellement, cependant, DarkSide semble également essayer de cultiver une image de Robin des Bois et de bonhomme – voler les riches (les soi-disant cibles du «  gros gibier  ») et donner une partie du produit du crime à des œuvres de bienfaisance. 

Des organismes de bienfaisance qui auraient offert des dons en Bitcoin volé (BTC) ont, jusqu’à présent, refusé de les accepter. 

Les opérateurs de services RaaS ont également tenté de se distancier de l’incident en laissant entendre vaguement qu’il s’agissait d’un client en faute et que la cyberattaque ne correspond pas à l’éthique DarkSide.

« Nous sommes apolitiques, nous ne participons pas à la géopolitique, n’avons pas besoin de nous lier à un gouvernement défini et de rechercher d’autres nos motivations », a déclaré DarkSide le 10 mai. « Notre objectif est de gagner de l’argent et non de créer des problèmes pour la société. . Nous [allons] introduire la modération et vérifier chaque entreprise que nos partenaires veulent crypter pour éviter des conséquences sociales à l’avenir. « 

FireEye a publié les résultats d’une enquête sur les affiliés de DarkSide. Sophos affirme que la société de cybersécurité a été appelée au moins cinq fois pour faire face à des infections suspectées de DarkSide et a publié des recherches sur les méthodes et outils d’attaque typiques du groupe .

Que se passe-t-il ensuite?

En tant que groupe connu pour extorquer deux fois les victimes, Colonial Pipeline pourrait être la prochaine entreprise à faire face à la menace d’une fuite de données à moins qu’elle ne cède au chantage et ne paie les attaquants. Il se peut cependant que DarkSide choisisse de ne pas poursuivre cette tactique habituelle en raison des problèmes «sociaux» mentionnés ci-dessus causés par le ransomware. 

Bloomberg dit  que pendant l’attaque, plus de 100 Go de données d’entreprise ont été volés en seulement deux heures. 

Depuis le 11 mai, Colonial Pipeline n’a pas été ajouté au site de fuite DarkSide. 

Le 13 mai, Bloomberg a rapporté que la société avait payé une demande de rançon de près de 5 millions de dollars en échange d’une clé de déchiffrement. 

Cela semble être l’une des cyberattaques les plus importantes et les plus réussies à ce jour contre un élément essentiel de l’infrastructure d’un pays – mais ce n’est pas la première. 

En février, un cyberattaquant a tenté d’ajouter des niveaux dangereux d’un produit chimique à une ville du réseau d’eau potable de Floride  et, en 2016, la ville de Kieve, en Ukraine, a perdu toute alimentation électrique pendant une heure à cause du  logiciel malveillant d’Industroyer .   

Si la perspective de pénuries de carburant, l’invocation de pouvoirs d’urgence et le briefing d’un président est quelque chose à passer, nous pourrions assister prochainement à un examen plus urgent des procédures et des pratiques de cybersécurité aux États-Unis – et peut-être à la mise en œuvre de mesures punitives sévères. les actions aux entreprises qui ne maintiennent pas une posture de sécurité solide. 

Cependant, les cybermenaces continuent d’évoluer et, dans tous les cas, il est peu probable que ce soit la dernière fois que nous voyons des perturbations sociales aussi graves causées par des cyberattaquants rien que pour l’argent. 

« Cet incident n’est pas le premier et ne sera certainement pas le dernier, car l’infrastructure critique américaine s’étend sur tout un continent et s’appuie sur des ingénieurs situés dans des endroits éloignés pour se connecter et effectuer la maintenance en cas de besoin », a commenté Bitdefender. « Il est courant pour les opérateurs de ransomware de sonder les réseaux pour trouver de tels points d’entrée ou même d’acheter des informations d’identification de phishing à des instances de bureau à distance qu’ils peuvent utiliser pour lancer une attaque. Les infrastructures critiques sont de plus en plus attrayantes pour les opérateurs de ransomware, en particulier ceux qui sont impliqués. dans les schémas de Ransomware-as-a-Service. « 

Mise à jour 13/5 : Mercredi, le président américain Biden a signé un décret pour améliorer la cybersécurité fédérale, notant que les agences doivent «montrer l’exemple».

La commande comprend un passage à l’authentification multifacteur, au chiffrement des données au repos et en transit, à un modèle de sécurité sans confiance et à des améliorations de la protection des points finaux et de la réponse aux incidents.

Un comité d’examen de la sécurité de la cybersécurité sera également créé. 

« Des améliorations progressives ne nous donneront pas la sécurité dont nous avons besoin; au lieu de cela, le gouvernement fédéral doit faire des changements audacieux et des investissements importants afin de défendre les institutions vitales qui sous-tendent le mode de vie américain », lit-on dans l’ordre.