La guerre entre la Russie et l’Ukraine, la multiplication des équipements connectés et les botnets IoT ont eu le plus fort impact sur les menaces visant les systèmes de contrôle des processus industriels (ICS).
Selon le dernier rapport de sécurité OT et IoT de Nozomi Networks Labs, les malwares de type « wipers », l’activité des botnets IoT et la guerre entre la Russie et l’Ukraine ont eu un fort impact sur le paysage des menaces au premier semestre 2022.
Depuis le début de l’invasion de l’Ukraine par la Russie en février 2022, les chercheurs ont observé l’activité de plusieurs types d’acteurs malveillants, notamment des hacktivistes, des APT étatiques et des cybercriminels. Ils ont également été témoins de l’usage intensif de wipers, ainsi que de l’apparition d’un variant d’Industroyer, nommé Industroyer2, conçu dans le but de détourner le protocole IEC-104, couramment utilisé dans les environnements industriels. Comme le montre le blog ZATAZ, spécialiste de l’actualité liée à la lutte contre la cybercriminalité, les assauts des pirates informatiques Russes et Ukrainiens ont évolué de manière significative.
Toujours au premier semestre 2022, l’activité des botnets IoT s’est intensifiée et complexifiée. Nozomi Networks Labs a mis en place une série de honeypots destinés à attirer ces robots malveillants et à en capter l’activité afin d’en savoir plus sur la manière dont ils ciblent l’Internet des objets. Les analystes de Nozomi Networks Labs ont ainsi exprimé des préoccupations croissantes autour de la sécurité des mots de passe codés « en dur » et des interfaces Internet servant à l’identification des utilisateurs. De janvier à juin 2022, les honeypots de Nozomi Networks ont permis les découvertes suivantes :
Mars 2022 a été le mois le plus actif, au cours duquel ont été collectées près de 5000 adresses IP distinctes de cyberattaquants. Les plus nombreuses de ces adresses IP se situaient en Chine et aux Etats-Unis. Les identifiants root et admin sont les plus fréquemment ciblés et exploités selon diverses méthodes par des acteurs malveillants afin d’accéder à l’ensemble des commandes et comptes utilisateurs.
En matière de vulnérabilité, les secteurs de la fabrication et de l’énergie demeurent les plus exposés, suivis par la santé et le commerce.
La CISA a rendu publiques 560 CVE, un nombre en recul de 14 % comparé au second semestre 2021.
Le nombre de fabricants touchés a augmenté de 27 %.
Le nombre de produits touchés est lui aussi en hausse, de 19 % par rapport au second semestre 2021.
« Cette année, le paysage des cybermenaces s’est complexifié, commente Roya Gordonde chez Nozomi Networks. « De nombreux facteurs, notamment la multiplication des équipements connectés, la sophistication des acteurs malveillants ou encore l’évolution des motifs des attaques accentuent le risque de piratages de données ou de cyberattaques physiques. Heureusement, les défenses de sécurité évoluent elles aussi. Des solutions sont disponibles dès à présent pour apporter aux infrastructures critiques la visibilité réseau, la détection dynamique des menaces et les informations de veille exploitables nécessaires pour réduire leurs risques et renforcer leur résilience. »