Security Defense Business Review

View Original

Panorama de la cybermenace maritime 2022

SDBR News a publié le 17 mai 2023 un article générique sur la cybermenace maritime et sur le travail du Cabinet OWN et du M-CERT:

https://www.sdbrnews.com/sdbr-news-blog-fr/la-cybermenace-maritime

Nous publions aujourd’hui des détails techniques de ce rapport de 70 pages.

Le secteur maritime en proie aux attaques cybercriminelles opportunistes

port

Les attaquants s’appuient sur 3 types d’opérations :

  • L’exploitation de vulnérabilités

    Les données d’accès initial peuvent être obtenues par l’exploitation de vulnérabilités sur des équipements exposés. Parmi les principaux types d’accès vendus, on retrouve les accès VPN, RDP, Pulse Secure, Fortinet et Citrix. Les vulnérabilités exploitées varient suivant les modes opératoires adverses, leur niveau technique et l’existence d’outils d’exploitation. Plusieurs vulnérabilités parues en 2021 et 2022 sont toujours activement exploitées par les attaquants. Les plus courantes en 2022 ont notamment été celles relatives à Fortinet, Zimbra, VMWare, Citrix et aux produits Microsoft (notamment Exchange).

  • Les attaques par force brute
    L’attaquant utilise des outils sur étagère, assortis de dictionnaires ou d’algorithmes pour tester, l’une après l’autre, chaque combinaison possible d’un mot de passe pour un identifiant donné, afin d’identifier des comptes privilégiés insuffisamment sécurisés ou dont les mots de passe par défaut n’ont pas été modifiés.

  • Les attaques par hameçonnage ou phishing
    L’orchestration de campagnes de phishing est rendue aisée par l’existence de services dédiés (Phishing as a Service) et la distribution de kits de phishing. Les adresses de courriel ciblées sont également faciles à lister par l’utilisation de bases d’adresses de courriers électroniques récupérées lors de fuites de données (combo-list), la collecte de manière automatisée des adresses exposées (email web scraping) ou l’identification de formats d’adresses par défaut et de technologies utilisés au sein d’une organisation (combinaisons nom.prénom@entreprise.tld par exemple).

Le OWN-CERT suit quotidiennement les campagnes d’hameçonnage usurpant les grands armateurs. Sur l’année 2022, une prédominance dans l’usurpation des armateurs Maersk et CMA-CGM a été constatée.

Les infostealers et le secteur maritime

Durant ses activités de suivi des menaces affectant le secteur maritime, le OWN-CERT a collecté sur l’année 2022 plus de 2200 binaires malveillants uniques, dont plus de 1600 sont des infostealers. Ces chiffres confirment la tendance générale : la majorité des sujets relatifs aux codes malveillants sur les forums cybercriminels en 2022 concerne les infostealers. Ces codes malveillants sont vendus sur des canaux cybercriminels en tant que malware-as-a-service.
Un infostealer est un code malveillant conçu pour collecter des données sur un système d’information. Ces données concernent notamment les informations de connexion, bancaires ou des cookies de session. Sur le plan méthodologique, l’ensemble des indicateurs collectés sur l’an-
née 2022 a fait l’objet d’enrichissement afin d’identifier les codes malveillants distribués, les techniques employées, les infrastructures malveillantes et les modes opératoires adverses en activité. 24 familles d’infostealers affectant le maritime ont ainsi été détectées sur l’année, avec une nette majorité d’échantillons de Formbook (aussi appelé Xloader), Agent Tesla, Snake Keylogger et Lokibot.

système gnss

Les attaques ciblées contre le secteur maritime

De longue date, des acteurs étatiques ont montré un intérêt marqué pour le secteur maritime et portuaire en raison de son caractère hautement stratégique.

Les objectifs sont triples :

  • Se prépositionner, afin de pouvoir mener des actions de sabotage contre des systèmes d’information critiques, à terre ou à bord.

  • Mener des campagnes d’espionnage, afin de récupérer une avance stratégique ou économique, notamment sur des chantiers navals ou des entreprises du naval de défense.

  • Être actif dans l’espace informationnel en y menant des campagnes de désinformation ou d’influence.

Les moyens

  • APT, pour Advanced Persistent Threat, désigne une typologie d’attaque ciblée mise en œuvre par des acteurs disposant de moyens importants, souhaitant se prépositionner de manière stratégique, discrète et sur une période longue afin d’atteindre leurs objectifs (espionnage, sabotage...). L’exécution d’une APT nécessite souvent plus de ressources qu’une attaque cybercriminelle opportuniste. Les auteurs sont généralement des équipes expérimentées disposant d’un soutien financier substantiel, comme des financements étatiques, afin de répondre notamment à certains enjeux nationaux.

    Les supports USB restent des vecteurs potentiels de propagation de codes malveillants au sein du secteur maritime.

  • L’ingénierie sociale via des courriels de harponnage (spearphishing) reste le premier vecteur d’intrusion de ces attaquants…

  • Les ports et les navires dépendent de systèmes complexes, associant systèmes d’information classiques (Information Technology, IT) avec des systèmes industriels (SCADA), cyber-physiques ou métiers, que l’on regroupe souvent sous le terme d’OT (Operational Technology). D’après un rapport de Dragos, les vulnérabilités impactant les systèmes industriels ont augmenté de 27 % en 2022.

  • Les menaces sur l’écosystème des câbles sous-marins: ces craintes font suite d’une part au sabotage des gazoducs Nordstream 1 et 2 fin septembre 2022 (imputables d’après les derniers éléments d’enquête connus aux Ukrainiens) et d’autre part à l’intérêt supposé de nombreux navires militaires ou de recherche
    vis-à-vis des trajets de câbles sous-marins intercontinentaux, régionaux, voire locaux.

  • Les télécommunications par satellite: leurrage et brouillage GNSS (les systèmes de Positionnement, de Navigation et de Temps (PNT) comme le GNSS sont importants pour le secteur maritime et portuaire).

  • Les acteurs maritimes victimes collatérales du cybercrime politique: les acteurs malveillants pratiquant les attaques DDoS entre autres.

Vous pouvez accéder au détail des 70 pages du rapport sur: https://share.own.security/s/tgL26oYXPQgL8d7

Crédits photos: GNSS, Nozomi, Earthcube