Archives par mot-clé : wiper

Les satellites Viasat attaqués par un essuie-glace

Le 24 février 2022, l’armée Russe envahissait l’Ukraine. Une attaque terrestre, aérienne, maritime et numérique. Parmi les dommages collatéraux, une cyberattaque à l’encontre des communications gérées par les satellites Viasat.

Souvenez-vous, le 24 février 2022, alors que l’armée Russe envahissait l’Ukraine, des milliers de clients et utilisateurs de communication passant par les satellites ViaSat se retrouvaient sourds et muets. Un essuie-glace russe était passé par là. Un Wiper, baptisé AcidRain par la société américaine SentinelOne, aurait fait le grand ménage dans l’informatique satellitaire.

Ce code malveillant aurait de grande similitude avec un cousin du nom de VPNFilter. Ce « virus » aurait infecté plus de 500 000 modems sur le sol de l’Oncle Sam. Lors de la cyber attaque de « pluie acide », des milliers de modems Viasat sont tombés en panne en Ukraine, mais aussi dans toute l’Europe, dont la France.

Viasat explique que les pirates, qui seraient Russes, sont passé par un outil VPN mal configuré. AcidRain n’avait plus qu’à être lancé. Il a écrasé les informations de chaque modem, les rendant inutilisables. Le merdier n’a pas été corrigé rapidement. En France, NordNet, l’une des victimes collatérales, expliquait ne pas pouvoir agir dans un temps raisonnable. Le manque de pièce ne permettant pas de remplacer les modems. Il faut dire aussi qu’aucune mise à jour en ligne n’était possible. Il faut remplacer physiquement le matériel.

AcidRain est le septième wiper découvert depuis la guerre en Ukraine.

Près de 20% des entreprises industrielles ont subi un vol de propriété intellectuelle

L’étude de Kaspersky Lab auprès de 3900 entreprises classe les répondants dans 17 secteurs différents, y compris la fabrication et l’énergie. Ces deux secteurs industriels se démarquent par l’architecture de leur réseau informatique, composé de machines gérées par des logiciels hautement spécifiques.

Propriété intellectuelle : 21% des organisations opérant dans le secteur de la production / fabrication ont dû faire face à une perte de leur propriété intellectuelle au cours des 12 derniers mois (le 5ème taux le plus important). Cela pourrait expliquer pourquoi elles donnent plus d’importance à la propriété intellectuelle (17%) que tous les autres secteurs.

Veille marché / Intelligence : les données de veille marché sont perçues comme étant de moyenne importance pour les entreprises de production, alors que les spécialistes de l’énergie les considèrent comme critiques. Les deux secteurs sont particulièrement touchés par le vol de ce type de données.

Informations clients : ces informations ne sont pas jugées comme critiques et ne sont pas la cible privilégiée des cyber criminels. Pourtant il faut prendre ces données très sérieusement, comme peut le montrer, très souvent, le protocole d’alerte de zataz.com.

Informations opérationnelles : les entreprises de production et énergétiques sont toutes particulièrement concernées par la perte de données internes liées à leur fonctionnement. Près de la moitié d’entre elles ont admis avoir perdu ce type d’informations après une fuite de données au cours des 12 derniers mois.

Les spécificités de la sécurité en secteur industriel
L’étude de Kaspersky Lab illustre les différences fondamentales qui existent entre les entreprises industrielles et les autres en matière d’informatique. Les entreprises traditionnelles se concentrent sur la protection des données, alors que les entreprises industrielles jugent critique la protection des process. Les données montrent l’importance accordée aux données liées au fonctionnement interne par rapport aux données clients, souvent considérées comme les plus sensibles dans d’autres secteurs.

À l’inverse, les données de moindre importance pour les entreprises classiques, comme la propriété intellectuelle, sont critiques dans le secteur industriel. 31% des entreprises de production sont convaincues que la propriété intellectuelle est directement visée lors d’attaques cyber criminelles. Tous secteurs confondus, c’est le taux le plus important après celui enregistré pour le secteur financier.

Il est clair que les réseaux informatiques industriels exigent une protection spécifique, en particulier face à des malware sophistiqués comme Wiper et Shamoon qui ont causé des millions d’euros de dommages en s’attaquant à des systèmes industriels. Kaspersky Lab a développé des solution de protection des infrastructures critiques, pensées pour répondre aux exigences de l’univers industriel en matière de contrôle et de sécurité.

Piratage en Corée du Sud … même pas peur !

Les organisations sud-coréennes cibles de cyber-attaques ? DataSecurityBreach.fr a appris hier qu’une cyber-attaque aurait paralysé les réseaux informatiques de trois sociétés de radiodiffusion et de deux banques en Corée du Sud. Les réseaux de ces organisations auraient été « partiellement ou totalement bloqués » et certains services bancaires tels que les distributeurs automatiques de billets auraient également été touchés.

La cause de ces problèmes reste inconnue, et les autorités sud-coréennes « essaient actuellement de déterminer la cause de la paralysie du réseau ». Bien qu’aucun réseau informatique lié au gouvernement n’ait été affecté, les autorités ont indiqué que l’implication de la Corée du Nord n’avait pas encore été établie. Cependant, le porte-parole du Ministère de la Défense sud-coréen Kim Min-seok a déclaré : « Nous n’excluons pas la possibilité que la Corée du Nord soit impliquée ».

Jean-Pierre Carlin, Directeur régional pour l’Europe du Sud et Benelux chez LogRhythm, commente cette information à Data Security Breach. : « La Corée du Sud est l’un des pays les plus développés au niveau technologique et il est souvent décrit comme le territoire « le plus branché du monde ». En tant que tel, les organisations doivent absolument avoir une connaissance approfondie de leurs propres systèmes IT, pour s’assurer que leurs réseaux sont non seulement protégés de manière adéquate, mais que s’ils devaient être attaqués (ce qui semble inévitable vu le contexte actuel en matière de cybercriminalité), les éventuels dommages seraient efficacement limités en temps réel et les traces de cette attaque pourraient être clairement démontrées. »

La cause des problèmes de réseau survenus hier est encore floue et les systèmes ont été infiltrés au point d’en être « paralysés », ce qui indique que les organisations cibles ne disposaient pas la visibilité nécessaire pour contrôler efficacement leurs systèmes IT et pour identifier et corriger en temps réel tout comportement anormal sur leur réseau informatique. Les organisations doivent pouvoir surveiller en temps réel toutes les données de registre générées par l’ensemble de leurs appareils informatiques, lesquelles renferment toutes les traces d’activité sur le réseau informatique, afin de détecter et de réagir à tout comportement suspect ou non autorisé à l’instant même où il a lieu. Ces messages d’activité aident non seulement les entreprises à identifier un piratage avant que celui-ci ne puisse causer des dommages durables, mais fournissent également des preuves indiscutables permettant de comprendre comment et pourquoi ces attaques ont pu avoir lieu.

L’autre grave problème est qu’il reste énormément d’incertitudes quant à la provenance de cette attaque. Lorsque la source d’une cyber-attaque n’est pas confirmée, l’imputation peut souvent être erronée, et compte tenu des tensions diplomatiques actuelles entre le Sud et le Nord de la Corée, toute erreur de jugement pourrait avoir des conséquences militaires indésirables. Une analyse plus approfondie de la faille s’avère donc nécessaire, mais celle-ci ne pourra être réalisée à l’aide de solutions de sécurité traditionnelles comme des anti-virus ou des pare-feux. Une stratégie de sécurité IT globale, se concentrant sur la surveillance continue des réseaux informatiques, offrira la visibilité réseau et le discernement de mise pour une telle analyse. Ce niveau élevé de visibilité réseau est primordial pour permettre aux organisations de contrecarrer efficacement les cyber-attaques et de retrouver leurs véritables auteurs.

Les pirates, derrière une attaque somme toute TRES classique se font appeler “Whois Team”. Les barbouilleurs ont affiché de jolies têtes de morts. A première vue, les pirates auraient utilisé un « outil » qui aurait automatisé l’attaque. Nous sommes loin d’une attaque de type Stuxnet ou Wiper. Les pirates semblent avoir cherché la publicité. Bref, ça sent le script-kiddies. Fermé le ban !