Sandworm n'est pas l'unique coupable : Forescout Research met en évidence de nouvelles preuves liées aux attaques contre le secteur de l'énergie danois

Forescout, un leader mondial dans le domaine de la cybersécurité, a présenté aujourd'hui « Clearing the Fog of War », (Éclaircir le brouillard des conflits), un rapport qui introduit de nouvelles preuves concernant deux attaques précédemment documentées contre le secteur de l'énergie danois en mai 2023.

Forescout Research ? Vedere Labs a effectué une analyse indépendante de ces attaques et découvert une campagne plus importante qui ne peut pas être totalement imputable au groupe de menace persistante avancée (APT) Sandworm. Cette analyse a aussi permis d'aboutir à d'autres conclusions que le centre de réponse aux incidents de sécurité informatique (CERT) danois, SektorCERT n'a pas publiées dans son rapport de novembre 2023.

Dans ses observations d'environnements d'engagement antagoniste (Adversary Engagement Environment - AEE), Vedere Labs est arrivé à deux conclusions majeures :

• Sandworm n'est pas l'acteur de la menace commun : les chercheurs de Forescout ont décrit en détails une technique différente pour cibler l'infrastructure critique dans la seconde vague d'attaques comparé à la technique utilisée au cours de la première vague. Cela indique que Sandworm ne peut pas être désigné comme étant le groupe APT associé aux deux vagues d'attaques.

• Une attaque copycat a adopté l'exploitation massive : la deuxième vague d'attaque a tiré parti de pare-feu non mis à jour en utilisant un nouveau CVE-2023-27881 « populaire » et des adresses IP supplémentaires qui n'ont pas été signalées dans le rapport de SektorCERT. Des éléments indiquent que la deuxième vague faisait partie d'une campagne d'exploitation massive séparée.

« Distinguer entre une campagne organisée par un état visant à perturber une infrastructure critique et une initiative criminelle basée sur des campagnes d'exploitation de masse, même en tenant compte de chevauchements potentiels entre les deux, est plus facile à posteriori qu'au moment de l'attaque », remarque Elisa Costante, vice-présidente de la recherche chez Forescout Research ? Vedere Labs. « Ce rapport souligne l'importance de la contextualisation des évènements observés à travers des renseignements complets sur les menaces et les vulnérabilités afin d'améliorer la surveillance du réseau TO et perfectionner les plans de réponse aux incidents. »

Lisez le blogue : Clearing the Fog of War - A critical analysis of recent energy sector cyberattacks in Denmark and Ukraine

Après le deuxième incident, d'autres attaques ont ciblé des dispositifs vulnérables à l'intérieur d'infrastructures critiques, à l'échelle mondiale au cours des mois suivants. Les chercheurs de Forescout ont détecté de nombreuses adresses IP essayant d'exploiter la vulnérabilité Zyxel CVE-2023-28771, persistante jusqu'au mois d'octobre 2023, dans de nombreux dispositifs, y compris les pare-feu Zyxel. À l'heure actuelle, six entreprises énergétiques distinctes dans des pays européens utilisent des pare-feu Zyxel et sont susceptibles de rester vulnérables face aux exploitations d'acteurs malveillants.

Ces preuves récentes soulignent que les entreprises énergétiques et les organisations en charge d'infrastructures critiques doivent impérativement accorder une plus grande priorité à l'utilisation des renseignements actuels sur les menaces, y compris les informations sur les IP malveillants et les vulnérabilités exploitées connues. Les pouvoirs publics adoptent de plus en plus des mesures proactives en finançant des initiatives visant à renforcer la sécurité des infrastructures critiques dans le secteur de l'énergie. En particulier, le ministère de l'énergie des États-Unis a annoncé la semaine dernière un nouveau financement de 70 millions $ dans cette optique.

Forescout Research a effectué cette analyse en utilisant son AAE qui inclut à la fois des dispositifs connectés réels et simulés. Cet environnement constitue un outil complet pour identifier les incidents et discerner les modèles des acteurs de menace au niveau granulaire. L'objectif est d'améliorer les réponses aux attaques sophistiquées contre les infrastructures critiques grâce à des perspectives détaillées et la compréhension obtenue à partir de cet environnement de test spécialisé.

Pour plus de renseignements, téléchargez le rapport complet « Clearing the fog of War ».

À propos de Forescout

Forescout Technologies, Inc., un leader mondial en cybersécurité, identifie, potège et aide à assurer la conformité de tous les actifs cyber connectés gérés ou non gérés - IT, IoT, IoMT, et OT. Depuis plus de 20 ans, des organisations du classement Fortune 100 et les administrations font confiance à Forescout pour leur apporter une cybersécurité automatisée à grande échelle. Forescout fournit à ses clients une intelligence basée sur les données pour détecter avec précision les risques et remédier rapidement aux cybermenaces sans perturber les actifs essentiels de l'entreprise Fod OT. La plateforme Forescout offre des capacités complètes pour la sécurité du réseau, la gestion des risques et d'exposition, ainsi qu'un dépistage élargi et des réactions. Forescout permet à ses clients de mieux gérer les risques et de remédier rapidement aux cybermenaces grâce à un partage de contexte simplifié et une orchestration de flux de travail via des partenaires de son écosystème.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.