Actualités

Le FBI et les services secrets enquêtent sur une cyberattaque contre une usine de traitement d’eau en Floride

Par Gabriel, le 11 février 2021 — 3 minutes de lecture
Le FBI et les services secrets enquêtent sur une cyberattaque contre une usine de traitement d'eau en Floride

Les responsables locaux ont déclaré que quelqu’un avait repris leur système TeamViewer et augmenté dangereusement les niveaux de lessive dans l’eau de la ville.

Image: / iStockphoto

La police fédérale étudie maintenant une cyberattaque dans une usine de traitement d’eau à Oldsmar, en Floride, où quelqu’un a pu accéder à distance aux systèmes et ajouter une quantité dangereuse de produits chimiques à l’approvisionnement en eau de la ville.

Lundi, le shérif du comté de Pinellas, Bob Gualtieri, a expliqué lors d’une conférence de presse qu’un employé de l’usine de traitement de l’eau d’Oldsmar avait vu sa souris bouger indépendamment de lui vendredi matin mais n’y pensait pas – il est courant pour les personnes sur le terrain d’accéder à distance aux systèmes via leur Logiciel TeamViewer.

Mais cela s’est reproduit plus tard dans l’après-midi, selon Gualtieri, et cette fois, la personne déplaçant la souris a changé les niveaux de lessive, ou hydroxyde de sodium, de 100 parties par million à 11 100 parties par million. Le produit chimique est utilisé pour aider les fonctionnaires à gérer les niveaux de pH de l’eau potable de la ville. Mais lorsque de l’hydroxyde de sodium est ajouté à ces niveaux à l’eau, il peut même devenir dangereux pour les gens de le toucher.

« Il s’agit évidemment d’une augmentation significative et potentiellement dangereuse. L’hydroxyde de sodium est l’ingrédient principal des nettoyants liquides pour drain. Il est également utilisé pour contrôler l’acidité de l’eau et éliminer les métaux de l’eau potable dans les usines de traitement de l’eau », a déclaré Gualtieri.

VOIR: Politique de réponse aux incidents (Netcost-Security Premium)

La personne devant son ordinateur qui regardait le hacker faire cela a immédiatement remis les niveaux à la normale et a appelé son supérieur, qui a ensuite appelé la police.

La situation est maintenant devenue une nouvelle nationale, avec le sénateur de Floride Marco Rubio demander au FBI pour obtenir de l’aide et écrire sur Twitter que cela « devrait être traité comme une question de sécurité nationale ».

Gualtieri et d’autres personnes travaillant à l’usine ont déclaré qu’il n’y avait jamais eu de danger parce que l’usine de traitement avait plusieurs systèmes en place pour s’assurer qu’un changement comme celui-ci ne pourrait pas être mis en œuvre. Même s’il était mis en œuvre, il faudrait environ 24 heures pour que le produit chimique pénètre dans le courant d’eau, a noté Gualtieri.

Échos des attaques précédentes

Mais la situation a suscité des inquiétudes et des références à des attaques similaires qui ont eu lieu à travers le monde.

Beaucoup en ligne ont fait référence à l’attaque russe contre un réseau électrique ukrainien en 2015 et à une autre attaque contre au moins deux usines de traitement d’eau israéliennes l’année dernière.

Justin Fier, ancien officier du renseignement national et directeur du cyber-renseignement de la société de cybersécurité Darktrace, a déclaré que l’attaque « était un rappel brutal des risques qui viennent du monde hyper-connecté dans lequel nous vivons. »

<< Les systèmes ICS analogiques ont été mis à jour ou équipés de systèmes de surveillance et de contrôle à distance, ce qui exaspère le grand défi auquel sont confrontés les défenseurs aujourd'hui. Les gouvernements du monde entier examineront certainement cet incident et sonderont leurs propres systèmes pour voir s'ils sont également vulnérables, "Dit Fier. Il a noté que l'attention des médias autour de l'attaque peut également avoir été un objectif des personnes derrière elle.

« Cette fois, un mouvement amateur d’un curseur de souris non autorisé a éloigné les auteurs, mais nous constatons une forte augmentation du nombre d’attaquants sophistiqués et furtifs qui passent inaperçus sous le radar. Que se passera-t-il la prochaine fois qu’il n’y aura pas de lumière rouge clignotante? Environnements critiques n’échouez pas gracieusement.  »

La montée en puissance des outils à distance

De nombreux experts en cybersécurité ont déclaré que le passage à l’utilisation d’outils à distance tels que TeamViewer était une conséquence de la pandémie COVID-19 et d’un passage plus général à la numérisation des systèmes. Mais cette numérisation a eu des inconvénients, comme le montre cette cyberattaque.

Il est également de plus en plus facile pour les attaquants de simplement choisir des cibles non protégées dans un chapeau en utilisant des plates-formes comme Shodan et d’autres. Etay Maor, directeur principal de la stratégie de sécurité chez Cato Networks, a déclaré que des attaques comme celle-ci se sont déjà produites, tant aux États-Unis qu’à l’étranger, mais que le recours croissant aux systèmes d’accès à distance et d’administration à distance facilitait la tâche des pirates informatiques moyens.

Maor a partagé une recherche simple qu’il a faite aujourd’hui sur Shodan pour les systèmes FrameBuffer distants qui n’ont pas de nom d’utilisateur ou de mot de passe activé. Il y en avait plus de 6 300 disponibles, dont environ 900 aux États-Unis et environ 1 500 en Suède.

« Regardez combien de résultats j’ai obtenu de cette recherche très naïve et simple. Je peux lancer des recherches similaires pour des protocoles, logiciels, matériels, etc. spécifiques. Sécuriser ces systèmes n’est pas une tâche facile, d’une part, vous voulez une gestion et une administration faciles … Pensez à une situation d’urgence », a déclaré Maor.

« Cependant, ces systèmes doivent être correctement sécurisés, utiliser plus qu’un simple nom d’utilisateur et mot de passe pour l’authentification, et être constamment surveillés pour détecter les menaces et les tentatives de violation. L’administration à distance, tout comme le travail à distance, est vraiment une tâche difficile de nos jours – nous avons été précipités cette situation, qui peut en fait exiger une nouvelle façon de penser comment connecter, sécuriser et gérer tous ces systèmes tout en permettant la productivité et l’efficacité.  »

Pour illustrer à quel point il est facile pour les cyberattaquants, Maor a partagé une capture d’écran de sa recherche sur Shodan, montrant à quel point il est simple de rechercher et d’accéder à une variété de sociétés de services publics utilisant ce type d’outils à distance.

«Je suis littéralement à un clic de contrôler ce système, quel qu’il soit», a noté Maor.

Andrea Carcano, co-fondateur de Nozomi Networks, a fait écho à ces commentaires, notant le manque relatif de sophistication de l’attaque car l’attaquant n’a pas caché sa présence visuelle au personnel surveillant l’opération de traitement de l’eau.

Carcano a ajouté que l’attaquant ne savait pas non plus qu’un changement aussi massif déclencherait des systèmes automatisés et des alertes, ce qui signifie que la personne n’avait aucune connaissance de base du système.

« Néanmoins, cet incident est important car il reflète l’état de trop nombreuses installations de systèmes de contrôle industriels, en particulier celles avec des budgets plus petits et une taille plus petite, où la sécurité est souvent négligée », a déclaré Carcano.

« L’accès à distance, en particulier, lorsqu’il n’est pas conçu dans un souci de sécurité, est souvent la tête de pont utilisée par des attaquants distants pour infiltrer un réseau ICS. Dans ce cas précis, la station d’épuration d’Oldsmar a utilisé une instance TeamViewer, qui était apparemment accessible depuis Internet.  »

Seyi Fabode, PDG de la société de surveillance des systèmes de distribution d’eau Varuna, a expliqué que l’industrie des systèmes d’eau perdait une quantité considérable d’expertise alors qu’une génération d’experts prend sa retraite, laissant de nombreuses installations de traitement se démener pour trouver des personnes capables de détecter tout changement anormal comme le celui que le hacker essayait de réaliser.

Le besoin d’une technologie mise à jour apportait également ses propres problèmes en raison du manque de talents en cybersécurité.

«Alors que de nouveaux outils technologiques sont introduits dans l’industrie (IoT, nouvelles méthodes de traitement, etc.), l’industrie n’a pas l’expertise nécessaire pour détecter ces types d’activité de piratage», a déclaré Fabode, ajoutant qu’il était important pour les entreprises de comprendre la cybersécurité et aussi avoir des systèmes en place pour détecter les anomalies. « Ce sont des systèmes d’eau, pas des entreprises technologiques, et leurs partenaires fournisseurs devraient être des experts en technologie et fournir le soutien. »

Les services publics comme cibles

Certains experts en cybersécurité ont fait référence à un cas de 2016 où le petit barrage de Bowman Avenue à Rye Brook, dans l’État de New York, a été ciblé par des pirates iraniens dans le cadre d’un complot plus vaste.

Austin Berglas, ancien directeur du FBI NY Cyber ​​et maintenant cadre de la société de cybersécurité BlueVoyant, a dirigé l’enquête sur l’affaire du barrage de Bowman Avenue et a déclaré que les installations d’approvisionnement en eau étaient depuis longtemps la cible de cyberattaques de la part d’entités criminelles et étatiques.

«Les installations hydrauliques s’appuient sur des systèmes de contrôle des systèmes et d’acquisition de données (SCADA) pour gérer le processus automatisé ou la distribution et le traitement de l’eau. Beaucoup de ces systèmes de contrôle industriels sont obsolètes, non corrigés et disponibles pour examen sur Internet, ce qui les rend incroyablement vulnérables aux compromis », A déclaré Berglas.

« De plus, de nombreuses solutions ICS ont été conçues pour des environnements non connectés à Internet et n’ont donc pas incorporé certains contrôles de sécurité de base. Cela offre des vulnérabilités supplémentaires car de plus en plus d’environnements technologiques opérationnels permettent d’accéder à leurs systèmes ICS depuis Internet », a ajouté Berglas. , mettant en évidence la vulnérabilité de certaines infrastructures critiques lorsque leurs systèmes ICS sont autorisés à être exposés à Internet et non isolés.

Tout au long de 2020, il y a eu des centaines de cyberattaques contre des écoles et des hôpitaux, ce qui a soulevé des inquiétudes quant à la capacité du pays à protéger des entreprises critiques.

Mais de nombreux experts en cybersécurité ont déclaré que les gouvernements étrangers, y compris les États-Unis eux-mêmes, ont passé des années à cibler les services publics en raison des dommages que les attaques pourraient causer.

Le vice-président de Cerberus Sentinel, Chris Clements, a expliqué que le mois dernier, une société de services publics d’Independence, MO a subi une cyberattaque qui a interrompu son portail de paiement pendant un mois, obligeant les résidents à recevoir une facturation pour 60 jours d’utilisation à la fois.

Clements et d’autres, comme le PDG de Vectra, Hitesh Sheth, ont déclaré que les services publics et autres infrastructures devaient aller au-delà du simple fait de jeter de l’argent sur le problème et mettre en œuvre des contrôles plus stricts avant qu’il ne soit trop tard.

«Les services publics, y compris les systèmes d’électricité et d’eau, sont les principales cibles des cyberattaques depuis des années. Il existe toute une équipe cyber russe,« Energetic Bear », qui se concentre sur le piratage de l’infrastructure énergétique américaine», a déclaré Sheth.

« Dans le cas d’Oldsmar, il est prématuré d’attribuer le motif ou de blâmer. Cependant, nous avons vu suffisamment de violations du réseau électrique américain, des systèmes d’eau et même des centrales nucléaires pour conclure ceci: protéger ces installations critiques et améliorer leurs cyberdéfenses. , devrait être une priorité bien plus élevée.  »

Gabriel

Gabriel

La tech va chaque jour plus vite et il peut-être difficile de suivre cette thématique. Grâce à mes articles, j'espère vous faire ressortir les sujets importants et intéressants afin de ne rien louper cette actualité toujours en pleine agitation.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.