Pendant les attaques initiales, le groupe a exploité la vulnérabilité de MS Exchange pour déployer le malware ShadowPad et a infiltré les systèmes d’automatisation du bâtiment de l’une des victimes.
Un système d’automatisation du bâtiment (BAS) connecte toutes les fonctions présentes à l’intérieur du bâtiment de l’électricité au système de chauffage en passant par les sécurités incendies et la sécurité et est géré depuis un centre de contrôle. Une fois qu’un BAS est compromis, toutes les procédures au sein de l’organisation sont exposées au risque, y compris celles relatives à la sécurité de l’information.
Les experts d’ICS CERT de Kaspersky ont été témoins d’attaques sur des organisations au Pakistan, en Afghanistan et en Malaisie dans les secteurs industriels, et des télécommunications. Les attaques étaient menées à travers des tactiques, techniques et procédures uniques (TTPs), qui ont poussé les experts à penser que le même acteur malveillant sinophone était à l’origine de toutes ces attaques. Leur attention a été particulièrement attirée par l’utilisation par l’acteur d’ordinateurs d’ingénierie dans les systèmes d’automatisation des bâtiments, appartenant aux infrastructures des entreprises, comme point d’infiltration ce qui est inhabituel pour les groupes APT. En prenant le contrôle de ces systèmes, l’attaquant peut atteindre d’autres systèmes, encore plus sensibles, de l’organisation attaquée.
L’investigation a montré que le principal outil du groupe APT était la porte dérobée Shadowpad. Kaspersky a été témoin de l’utilisation de ce malware par plusieurs acteurs APT sinophones. Pendant les attaques de l’acteur observé, la porte dérobée ShadowPad était téléchargée sur les ordinateurs attaqués, sous le couvert de logiciels légitimes. Dans bien des cas, le groupe attaquant exploitait une vulnérabilité connue dans MS Exchange, et a entré les commandes manuellement, ce qui indique la nature hautement ciblée des attaques.
« Les systèmes d’automatisation des bâtiments sont des cibles rares pour les acteurs avancés de la menace. Cependant, ces systèmes peuvent être une source précieuse d’informations hautement confidentielles et peuvent fournir aux attaquants une porte dérobée vers d’autres zones, plus sécurisées, des infrastructures. Comme ces attaques se développent extrêmement rapidement, elles doivent être détectées et atténuées dès les premiers stades. Nous vous conseillons donc de surveiller constamment les systèmes mentionnés, en particulier dans les secteurs critiques », commente Kirill Kruglov, expert en sécurité à l’ICS CERT de Kaspersky.
Pour garder vos ordinateurs OT à l’abri des différentes formes de menaces, les experts Kaspersky recommandent de :
Mettre régulièrement à jour les systèmes d’exploitation et tout logiciel d’application qui font partie du réseau de l’entreprise. Appliquer les correctifs de sécurité et les patchs aux équipements du réseau OT dès qu’ils sont disponibles.
Réaliser des audits de sécurité réguliers des systèmes OT afin d’identifier et d’éliminer les éventuelles vulnérabilités.
Utiliser des solutions de surveillance, d’analyse et de détection du trafic réseau OT pour mieux se protéger des attaques qui menacent potentiellement les systèmes OT et les principaux actifs de l’entreprise
Fournir une formation dédiée à la sécurité OT pour les équipes de sécurité informatique et les ingénieurs OT. Ceci est crucial pour améliorer la réponse aux techniques malveillantes nouvelles et avancées.
Fournir à l’équipe de sécurité chargée de protéger les systèmes de contrôle industriel des renseignements actualisés sur les menaces. Le service ICS Threat Intelligence Reporting fournit des informations sur les menaces et les vecteurs d’attaque actuels, ainsi que sur les éléments les plus vulnérables des systèmes de contrôle industriel et sur la manière de les atténuer.
Utiliser des solutions de sécurité pour les terminaux et les réseaux OT, telles que Kaspersky Industrial CyberSecurity, afin de garantir une protection complète de tous les systèmes critiques.
Protégez l’infrastructure informatique. Integrated Endpoint Security protège les terminaux de l’entreprise et permet des capacités de détection et de réponse automatisées aux menaces.