L'un des géants américains d'oléoducs, Colonial Pipeline, a été victime d'un ransomware vendredi connu sous le nom de « DarkSide ». Ce dernier, relativement récent, serait spécialisé dans la pratique de la double extorsion. Mais il respecterait surtout plusieurs principes.
La société Colonia Pipeline, qui livre son carburant de Houston (Texas) au port de New York, en passant par la Louisiane, l'Alabama ou encore le Tennessee, a constaté être victime d'un ransomware le vendredi 7 mai. L'un des principaux opérateurs d'oléoducs des États-Unis a rapidement mis hors ligne certains systèmes critiques pour contenir la menace, avant de relancer une partie de son réseau ce dimanche. En ce début de semaine, les informations affluent et selon plusieurs experts cyber, l'attaque proviendrait du groupe DarkSide, aux activités tout à fait paradoxales. Au-delà de cette seule attaque, on peut aussi y voir un virage de la « grande cybercriminalité », qui sait plus que jamais où sont ses priorités.
Le groupe assaillant supposé rapidement identifié
Durant de longues heures ce week-end, Colonial Pipeline a dû interrompre toutes ses opérations de distribution de fioul, diesel, gaz naturel et essence. Pendant ce temps, l'entreprise a fait intervenir des experts en cybersécurité extérieurs à celle-ci, qui ont lancé une enquête sur la nature et la portée de l'incident. Le tout, en restant en contact avec les autorités fédérales américaines, dont le département de l'Énergie.
Dimanche soir, si les quatre lignes principales de l'opérateur restaient coupées, certaines lignes latérales, plus petites, étaient désormais opérationnelles, pour relancer la connexion entre les terminaux et les points de livraison. « À l'heure actuelle, notre objectif principal continue d'être la restauration sûre et efficace du service de notre réseau de pipelines, tout en minimisant les perturbations pour nos clients et tous ceux qui comptent sur Colonial Pipeline », indiquait la firme il y a quelques heures. Désormais, elle œuvre activement sur un plan de redémarrage, destiné à relancer les lignes principales.
On en sait désormais plus sur l'attaque. Plusieurs sources américaines s'accordent autour d'un nom, en ce qui concerne l'auteur des faits. Le groupe DarkSide serait en effet à l'origine de la cyberattaque de ransomware. Il serait connu comme étant issu d'une source de rançongiciel assez récente, puisque sa première apparition remonterait au mois d'août 2020, selon Assaf Dahan, Directeur de l'équipe de recherches Nocturnus de Cybereason.
Un groupe qui s'est très vite professionnalisé
Le groupe DarkSide est réputé pour s'être très vite professionnalisé et organisé. Il aurait d'ailleurs déjà généré des millions de dollars de profits. « Notre équipe de recherche Cybereason Nocturnus évalue le niveau de menace du groupe DarkSide comme élevé étant donné le potentiel destructeur de ses attaques », précise Assaf Dahan. Une infection par DarkSide peut être suivie d'une demande de rançon pouvant aller de 200 000 à 2 millions de dollars. On imagine que dans le cas de Colonial Pipeline, celle-ci pourrait être encore plus élevée.
Adepte de la double extorsion (exfiltration des données puis menace de les rendre publiques), le groupe DarkSide opère en tentant de s'infiltrer dans le réseau de l'entreprise, avec le but de compromettre le contrôleur du domaine, « le centre névralgique du réseau », note Assaf Dahan. Ensuite, les cybercriminels se déplacent de façon latérale dans le réseau, « avant de déclencher leur charge et générer l'impact le plus large possible ».
Ce qui étonne, dans le bon sens du terme, c'est que DarkSide aurait adopté une sorte de code de conduite qui lui interdirait de mener des attaques contre des hôpitaux, universités, écoles, agences gouvernementales et organisations à but non lucratif.
DarkSide, du bon côté de la force ?
DarkSide préfère se concentrer sur des infrastructures nationales qui peuvent aussi bien être des cibles faciles que de gros portefeuilles. « Une société comme Colonial Pipeline sera potentiellement plus encline à payer pour éviter d’énormes pertes financières liées à une longue coupure d’activité », explique Grant Geyer, Directeur des produits de Claroty, entreprise spécialisée dans la cybersécurité des systèmes industriels. « Les environnements industriels fonctionnent avec des infrastructures qui utilisent généralement des technologies obsolètes qui ne peuvent pas être corrigées, et avec un personnel qui n'est souvent pas aussi compétent en matière de cybercriminalité qu'il devrait l'être pour tenir les attaquants à distance. Il en résulte une situation dans laquelle les niveaux de risque de cybersécurité sont inférieurs aux seuils de tolérance acceptables et, dans certains cas, les organisations ne sont pas conscientes du risque », ajoute l'expert.
Grant Geyer va même plus loin en indiquant que le secteur de l'énergie est aujourd'hui l'un des plus exposés et touchés par les vulnérabilités dites « ICS » (systèmes de contrôle industriel). En deux ans, les vulnérabilités ont cru de 74 %. « Cette cyberattaque contre Colonial Pipeline n'est qu'un aperçu de ce à quoi vont ressembler les cyberattaques à l'avenir », prédit-il.
Mais DarkSide s'est récemment distingué "en proposant un don à plusieurs organisations caritatives, environ 20 000 dollars en bitcoins, mais celles-ci ont évidemment refusé en raison de la provenance des fonds", nous apprend Assaf Dahan.
Ce qui est certain désormais, c'est que les attaquants sont tournés vers des entités à risque, qui privilégient davantage la facilité d'un accès à distance (et donc une facilité opérationnelle) à la sécurité, pourtant essentielle au maintien de service. Cela vient aider les cybercriminels à se frayer un chemin dans les défenses les moins robustes.
