Cybersécurité pour les systèmes de

contrôle industriels : Partie 1

Dans cette série en deux parties, nous examinons diverses menaces de
cybersécurité qui ont affecté les terminaux des systèmes de contrôle industriels.
Nous discutons également de plusieurs idées et recommandations pour
atténuer ces menaces.

Le paysage technologique en constante évolution a permis

d’interconnecter le processus métier du côté informatique d’une
entreprise avec le processus physique du côté OT. Bien que cette
avancée ait amélioré la visibilité, la vitesse et l’efficacité, elle a exposé
les systèmes de contrôle industriel (ICS) à des menaces affectant les
réseaux informatiques pendant des années.

Notre équipe d’experts a examiné de manière approfondie les familles

de logiciels malveillants spécifiques signalées dans les points de
terminaison ICS afin de valider la sécurité ICS et d’établir une base de
référence mondiale pour examiner les menaces qui mettent ces
systèmes en danger. Ce faisant, cela peut aider à identifier le choix des
logiciels malveillants et à dévoiler la motivation et les niveaux de
compétence des attaquants, ainsi qu’à recueillir des informations sur
l’écosystème du réseau affecté et l’hygiène de la cybersécurité.

Vue d’ensemble du réseau IT/OT et des points de terminaison ICS

Le réseau IT/OT se rapporte à la convergence du réseau IT et OT – une

connexion du processus métier du côté IT avec le processus physique
du côté OT. Le réseau IT/OT permet l’échange de données ainsi que la
surveillance et le contrôle des opérations à partir du réseau
informatique.

D’autre part, les points d’extrémité ICS sont utilisés dans la conception,
le développement, la surveillance et le contrôle des processus
industriels. Ceux-ci ont un logiciel spécifique pour effectuer des
fonctions importantes. Voici des exemples de ces applications logicielles
:
  Suites d’automatisation industrielle, telles que Totally
Integrated Automation de Siemens, KEPServerEX de Kepware
et FactoryTalk de Rockwell Automation.
 Engineering Workstation (EWS), qui est utilisé dans la
programmation d’un processus industriel ou d’un flux de
travail. Cela comprend :
o Systèmes de contrôle tels que MELSEC GX Works de
Mitsubishi Electric ou Nanonavigator de Phoenix
Contact
o IHM (Interface Homme-Machine) telle que MELSEC GT
Works ou GP-PRO EX de Schneider
o Logiciel de programmation de robots tels que ABB
Robotstudio
o Logiciels de conception tels que Solidworks
o Logiciel d’historien tel que Honeywell’s Uniformance
o Contrôle de surveillance et acquisition de données
(SCADA) tel que Simatic WinCC SCADA de Siemens
o Gestion et configuration des appareils de terrain tels
que PACTware et EZconfig d’Honeywell
o Convertisseurs pour connexions série vers USB tels que
Uport de Moxa

Les données ICS à travers le miroir

Nous avons analysé les données des points de terminaison ICS qui font
partie du réseau IT/OT, à l’exclusion des points d’extrémité ICS des
systèmes à air comprimé ou ceux sans connexion Internet. Ces points
de terminaison peuvent être trouvés dans différents niveaux de réseau
IT/OT, à l’exception des niveaux de processus et de contrôle. De plus, les
points de terminaison ICS que nous avons identifiés exécutaient des
systèmes d’exploitation Windows.
Graphique 1. Points de terminaison ICS, mis en surbrillance, comme
indiqué dans une architecture de modèle Purdue

Nous avons filtré les machines de test évidentes, les points de

terminaison utilisés par les testeurs d’intrusion et les points de
terminaison des universités pour nous assurer que nos données
provenaient de vrais ICS et que les données de détection de logiciels
malveillants n’étaient pas faussées par les testeurs d’intrusion, les
chercheurs et les machines étudiantes.

En outre, nous avons déterminé les points de terminaison ICS à l’aide de

divers indicateurs tels que les noms de fichiers, les chemins d’accès aux
fichiers et les processus signalés au réseau Trend Micro Smart
Protection. Nous avons traité les données pertinentes conformément à
notre politique de divulgation de la collecte de données, en maintenant
l’anonymat du client tout au long du processus.

Après avoir évalué en profondeur les données recueillies, nous avons

découvert diverses menaces de logiciels malveillants qui continuent de
poser un risque de cybersécurité pour les terminaux ICS, y compris les
logiciels malveillants séculaires hérités ainsi que les ransomwares.

Rançongiciel post-intrusion

Graphique 2. Panne de ransomware qui a affecté les systèmes de

contrôle industriels

Nous avons découvert qu’il y avait une augmentation significative de

l’activité des rançongiciels affectant ICSS. Cela était principalement dû à
l’augmentation des attaques de Nefilim, Ryuk, LockBit et Sodinokibi de
septembre à décembre de cette année-là. Lorsqu’ils sont combinés, ces
ransomwares représentent plus de 50% des attaques affectant les ICS.

Graphique 3. Répartition par pays des détections de rançongiciels liées

à l’organisation pour les systèmes de contrôle industriels
De plus, nous avons découvert que les États-Unis avaient le plus grand
nombre d’incidents liés à l’organisation affectant les SCI. L’Inde,
l’Espagne et Taïwan sont arrivés deuxièmes. Cependant, le Vietnam,
l’Espagne et le Mexique seraient les trois premiers pays si nous
prenions le pourcentage d’organisations exécutant des systèmes de
contrôle industriel dont les ransomwares affectaient leurs systèmes.
Coinmakers

Graphique 4. Répartition des mineurs de pièces affectant les systèmes

de contrôle industriel
Outre les ransomwares, les coinminers ont également grandement
affecté les points de terminaison ICS que nous avons analysés. Ce sont
des logiciels malveillants visant à abuser des ressources informatiques
pour miner des crypto-monnaies.
MALXMR est le premier coinminer qui a affecté le plus d’ICS.
WORM_COINMINER et TOOLMXR ont également touché un total de 30,8
% des CSI cette année-là.

Graphique 5. Distribution MALXMR par pays et organisation

Le pays le plus touché par MALXR était l’Inde. Cependant, notez que cela
ne signifie pas que le pays a été spécifiquement ciblé par les gangs
MALXR. Cela suggère simplement que l’Inde a eu le plus d’infections car
de nombreux ordinateurs exécutant un logiciel ICS sont vulnérables à
EternalBlue, qui exploite les vulnérabilités SMBv1.

Conficker

Graphique 6. Distribution par système d’exploitation des points de

terminaison ICS avec détections Conficker

À l’instar de ce que nous avons constaté sur Security in the Era of

Industry 4.0: Dealing with Threats to Smart Manufacturing
Environments, nous considérions toujours Conficker ou Downad
comme une menace persistante pour les terminaux ICS.

Nous avons découvert que les systèmes d’exploitation Windows 10 et 7

étaient les plus touchés2. Cependant, ils n’ont pas été affectés en
utilisant MS08-067, l’une des techniques de propagation les plus
couramment utilisées pour propager Confickers. Cela signifie que ces
infections ont été propagées à l’aide de pilotes amovibles ou d’attaques
par dictionnaire sur le partage ADMIN$.
Graphique 7. Emplacement des détections Conficker en fonction du
chemin d’accès au fichier

Au moins 85 % des détections de Conficker ont été détectées à partir de

disques amovibles. En outre, au moins 12 % des détections ont été
détectées uniquement sur le répertoire système Windows.

Logiciels malveillants hérités

Graphique 8. Répartition des logiciels malveillants hérités détectés dans

les points de terminaison ICS

Nous avons également détecté d’anciens logiciels malveillants de vers

principalement propagés via des partages réseau ou des clés USB
amovibles. La SALITY a affecté 1,5 % des USI, tandis que RAMNIT et
AUTORUN ont infecté respectivement 1,3 % et 1 % des USI. Certains de
ces vers étaient endémiques en 2013 et 2014, mais ont depuis été
empêchés car les politiques de sécurité ont désactivé l’exécution
automatique.

Cependant, le transfert de fichiers via des clés USB permet leur

propagation continue. De plus, la création de sauvegardes système ou
de terminaux de secours à froid sans effectuer d’analyse de sécurité
permet la propagation continue de ces vers.

Dans la deuxième partie de cet article de blog, discutez de la détection

des logiciels malveillants dans les 10 principaux pays ainsi que de
quelques informations et recommandations utiles pour rendre vos ICS
plus robustes et résilients afin d’atténuer ces menaces.

Cybersécurité pour les systèmes de

contrôle industriels : Partie 2
Pour couronner la série, nous discuterons de la détection et de la distribution de
logiciels malveillants dans différents pays. Notre équipe rassemble également
plusieurs informations pour aider à renforcer la cybersécurité ICS et à atténuer
les attaques de logiciels malveillants.

Dans la deuxième partie de la série, nous avons discuté du fait que les
ransomwares, les logiciels malveillants hérités, Coinminer et Conficker
continuent de poser un grand risque pour les systèmes de contrôle
industriels. Pour couronner la série, parlons de la détection dans les dix
premiers pays. Nous partagerons également des idées et des conseils
utiles pour renforcer votre cadre de cybersécurité ICS.

Top 10 des comtés et détections

Graphique 9. Pourcentage des 10 principaux pays de systèmes de
contrôle industriels avec détection de logiciels malveillants et de
graywares

Des menaces de logiciels malveillants et de graywares ont également

été découvertes au cours de nos recherches. Nous avons constaté que
la Chine avait le plus grand nombre de détections de graywares et de
logiciels malveillants dans les 10 premiers pays, tandis que le Japon en
avait le moins. D’un point de vue géographique, nous pouvons voir que
certains types de menaces ont touché certains pays plus que d’autres.
Graphique 10. Top 10 des pays Répartition des détections par type

Les logiciels malveillants hérités ont eu le plus de détections en Inde, en

Chine, aux États-Unis et à Taïwan. Pour coinminer, Equated malware et
WannaCry, l’Inde a enregistré le plus grand nombre de détections.
D’autre part, le Japon a eu le plus d’infections Emotet, tandis que les ICS
en Allemagne ont eu le plus d’incidents publicitaires.

Grâce à ces recherches approfondies, nous avons constaté qu’il existait

plusieurs menaces de logiciels malveillants qui présentaient un grand
risque pour les ICS. En identifiant ces menaces, nous pouvons
maintenant déterminer les différentes mesures que votre entreprise
peut prendre pour mieux sécuriser vos systèmes de contrôle industriel.

Mais que signifie cette information? Cela nous dit plusieurs choses :

 Les rançongiciels continuent d’être une préoccupation

majeure et continuent d’être une menace en évolution rapide
pour les ICS à travers le monde;
  Les coinmineurs affectent les ICS principalement via des
systèmes d’exploitation non corrigés;

 Conficker continue de se propager sur les points de

terminaison ICS exécutant un système d’exploitation plus
récent ;

 Les logiciels malveillants hérités affectent toujours les

réseaux IT/OT ; et

 Les logiciels malveillants détectés sur les points de

terminaison ICS varient d’un pays à l’autre.

Sur la base des données de détection, nous pouvons conclure que les
logiciels malveillants modernes tels que les menaces dont nous avons
parlé affectent les ICS. Cela signifie que les techniques modernes telles
que les logiciels malveillants sans fichier et les outils de piratage et les
méthodes séculaires telles que l’exécution automatique des lecteurs
amovibles peuvent infecter avec succès les points de terminaison ICS.

Les enjeux sont également plus élevés pour certaines attaques. Comme

l’illustre l’incident du pipeline colonial, les attaquants de ransomware
sont dans la chasse au gros gibier. Ils identifient les personnes qu’ils ont
pu compromettre, puis déterminent les systèmes clés du réseau qui
peuvent causer le plus de perturbations. Après cela, ils contraignent la
victime à payer.

La présence de rançongiciels dans les ICS dans plusieurs attaques peut

indiquer que les attaquants reconnaissent maintenant ces systèmes et
les ciblent activement.

La sécurité est primordiale pour les ICS

Ces résultats signifient que la sécurité doit être une considération

majeure lors de l’interconnexion du réseau informatique avec le réseau
OT. Les entreprises doivent s’attaquer aux problèmes de sécurité
causés à la fois par les logiciels malveillants hérités et les dernières
tendances en matière d’attaques.
L’utilisation de la détection de logiciels malveillants comme l’un des
critères de préparation à la cybersécurité des réseaux IT/OT peut aider
à améliorer leur posture de sécurité et à mieux protéger les points de
terminaison ICS Cela permet également d’éviter les involontaires au
centre-ville et la perte de vue et de contrôle.

De plus, le personnel de sécurité informatique devrait travailler avec les

ingénieurs OT pour prendre correctement en compte les systèmes clés
et identifier diverses dépendances telles que la compatibilité du
système d’exploitation et les exigences de disponibilité. Ils devraient
également apprendre le processus et les pratiques opérationnelles et
planifier une stratégie de cybersécurité appropriée pour la protection
de ces systèmes importants.

Autres conseils pour sécuriser vos points de terminaison ICS

 Appliquez des correctifs aux systèmes avec des mises à jour

de sécurité pour éviter les compromis. EnternalBlue a d’abord
été exploité par des logiciels malveillants zero-day, puis par
des outils de groupe Equation banalisés installant des
coinminers. Une fois qu’un exploit est sorti, il est assimilé
dans les playbooks de l’attaquant, donc le patching est vital.

 Utiliser la micro-segmentation dans le réseau ou les

technologies virtuelles. Si l’application de correctifs n’est pas
une option, cela peut améliorer la sécurité en limitant l’accès
au réseau et les communications aux seuls périphériques
nécessaires.

 Limitez les partages réseau et implémentez des combinaisons

fortes de nom d’utilisateur et de mot de passe. Cette
méthode peut aider à empêcher l’accès non autorisé par
force brute d’informations d’identification.

 Utilisez le système de détection d’intrusion (IDS) et le système

de prévention des intrusions (IPS). Ceux-ci peuvent signaler
d’éventuelles anomalies réseau et identifier le trafic
malveillant. Ceux-ci aident également à la visibilité de
l’appareil.
  Installez des solutions anti-programme malveillant. Ces
solutions peuvent traiter les vers et les virus hérités qui
peuvent rester dormants dans les disques amovibles et les
systèmes à air comprimé.

 Configurez des bornes de numérisation USB. Ces stations

peuvent rechercher des logiciels malveillants à partir de
lecteurs amovibles utilisés pour transférer des données entre
des points de terminaison à air comprimé.

 Appliquer le principe du moindre privilège. L’application de

cette stratégie signifie qu’un opérateur est autorisé à utiliser
le SCI, mais que seul un administrateur peut installer un
logiciel ou apporter des modifications au système sur le point
de terminaison.

 Utilisez une liste de sécurité. Cela peut être approprié pour

certains ICS de fonctions spécifiques.

 Effectuez des opérations de réactivité aux incidents et de

balayage du réseau à des fins de compromission (IoC). Ce
faisant, vous pouvez déterminer l’étendue des intrusions et
des faiblesses de sécurité qui ont été abusées par les
attaquants. Ces étapes peuvent également aider à créer une
stratégie de sécurité basée sur l’incident.

Outre ces recommandations, une solution de cybersécurité robuste

peut aider à pérenniser l’ICS et ses terminaux d’une entreprise. En tant
que leader des solutions de cybersécurité, Trend Micro propose des
produits tournés vers l’avenir qui répondent à divers besoins,
notamment la sécurité ICS. Consultez notre page produit pour en savoir
plus sur nos offres.