in

La cyberattaque par ransomware du pipeline Colonial : comment un important oléoduc a été retenu contre rançon

Le ministère de la Justice (DOJ) a réussi à récupérer une partie de la rançon versée au groupe de piratage criminel soupçonné d’être responsable de l’attaque contre le pipeline colonial, qui a interrompu un important approvisionnement en carburant sur la côte est pendant environ une semaine en mai. .

Le procureur général adjoint Lisa O. Monaco a annoncé le 7 juin que le DOJ, par le biais de son nouveau groupe de travail sur les ransomwares et l’extorsion numérique, avait pu récupérer environ 64 des 75 bitcoins versés aux attaquants en « suivant l’argent » – même si l’argent était dans une crypto-monnaie difficile à tracer. Une fois qu’il a connu l’adresse du portefeuille des pirates, il a pu obtenir une ordonnance du tribunal pour saisir les fonds qu’il contenait. Le FBI avait apparemment la clé numérique nécessaire pour ouvrir le portefeuille. Comment il a obtenu cet accès n’a pas été rendu public. La saisie est un exemple rare de paiements de rançongiciels récupérés.

L’attaque a été attribuée à un groupe de pirates informatiques basé en Europe de l’Est appelé DarkSide. Le pipeline, qui fournit environ la moitié de l’essence de la côte est, est tombé en panne pendant plusieurs jours, provoquant des achats de gaz de panique, des pénuries et des flambées de prix dans certains États. Il semble que ce soit la plus grande cyberattaque jamais lancée contre un système énergétique américain et un autre exemple de vulnérabilités en matière de cybersécurité que le président Joe Biden a promis de corriger.

La Colonial Pipeline Company a signalé le 7 mai qu’elle avait été victime d’une “attaque de cybersécurité” qui “implique un ransomware”, forçant la société à mettre certains systèmes hors ligne et à désactiver le pipeline. La société basée en Géorgie affirme qu’elle exploite le plus grand oléoduc des États-Unis, transportant 2,5 millions de barils par jour d’essence, de diesel, de mazout de chauffage et de carburéacteur sur sa route de 5 500 milles du Texas au New Jersey.

Le pipeline fournit près de la moitié de l’approvisionnement en carburant de la côte est, et une fermeture prolongée aurait provoqué des hausses de prix et des pénuries dans l’ensemble de l’industrie. Cela a été largement évité lorsque le pipeline est revenu en ligne dans la semaine, mais des augmentations de prix et des pénuries se sont quand même produites, en grande partie à cause de la panique plutôt que de l’offre. Cinq jours après l’annonce du piratage, le prix moyen national d’un gallon d’essence ordinaire avait dépassé les 3 $ pour la première fois depuis 2014 (bien que les prix du gaz aient déjà augmenté avant la fermeture du gazoduc), avec des sauts plus importants dans certains États. dessert le pipeline, y compris la Géorgie, les Carolines et la Virginie. Le gouverneur de Géorgie Brian Kemp a temporairement suspendu la taxe sur l’essence de l’État pour compenser l’augmentation des prix. D’autres États mettent en vigueur des lois sur les prix abusifs.

“Il est plus probable que les pénuries de carburant soient le résultat d’achats de panique de la part des consommateurs qui regardent les gros titres, par opposition aux pénuries directement causées par l’attaque”, Marty Edwards, ancien directeur des systèmes de contrôle industriel pour CISA et vice-président de la technologie opérationnelle. sécurité pour Tenable, a déclaré Recode. «C’est quelque chose que nous avons vu avec Covid et les épiceries vendant des articles ménagers. Quoi qu’il en soit, cela montre l’impact de la cybersécurité sur notre vie quotidienne.

« Il est beaucoup plus facile de comprendre l’impact d’une cyberattaque si elle a un impact direct sur votre vie quotidienne », a-t-il ajouté.

Le FBI a confirmé que DarkSide est responsable des attaques. DarkSide ne semble être lié à aucun État-nation, déclarant dans un communiqué que “notre objectif est de gagner de l’argent [not to create] problèmes de société » et qu’il est apolitique. DarkSide a affirmé qu’il fermait à la suite de l’attaque du pipeline.

Selon la société de cybersécurité Check Point, cependant, DarkSide fournit ses services de ransomware à ses partenaires. “Cela signifie que nous en savons très peu sur le véritable acteur de la menace derrière l’attaque contre Colonial, qui peut être l’un des partenaires de DarkSide”, a déclaré à Recode Lotem Finkelstein, responsable du renseignement sur les menaces chez Check Point. “Ce que nous savons, c’est que supprimer des opérations de grande envergure comme le Colonial Pipeline révèle une cyberattaque sophistiquée et bien conçue.”

Colonial a reconnu le 19 mai qu’il avait effectivement payé 4,4 millions de dollars de bitcoins (ce qui vaut maintenant considérablement moins – même si le DOJ a pu récupérer 64 bitcoins, ils ne valent plus que 2,3 millions de dollars maintenant). Le PDG Joseph Blount a déclaré au Wall Street Journal que payer la rançon était une décision difficile, mais qu’il considérait comme “la bonne chose à faire pour notre pays”.

Blount a ajouté qu’il en coûterait beaucoup plus cher à Colonial – des dizaines de millions de dollars – pour restaurer complètement ses systèmes au cours des prochains mois.

Les attaques de ransomware utilisent généralement des logiciels malveillants pour verrouiller les entreprises hors de leurs propres systèmes jusqu’à ce qu’une rançon soit payée. Ils ont augmenté au cours des dernières années et ont coûté des milliards de dollars en rançons payées à elles seules, sans compter celles qui ne sont pas signalées ou les coûts associés au fait d’avoir des systèmes hors ligne jusqu’à ce que la rançon soit payée. Les attaques de ransomware ont ciblé tout, des entreprises privées au gouvernement en passant par les hôpitaux et les systèmes de santé. Ces derniers sont des cibles particulièrement attractives, compte tenu de l’urgence de remettre leurs systèmes en état le plus rapidement possible.

Les systèmes et les fournisseurs d’énergie ont également été la cible de ransomwares et de cyberattaques. La cybersécurité de l’infrastructure énergétique américaine a été une préoccupation particulière ces dernières années, l’administration Trump ayant déclaré une urgence nationale en mai 2020 destinée à sécuriser le système d’alimentation en vrac de l’Amérique avec un décret interdisant l’acquisition d’équipements de pays qui posent un ” risque inacceptable pour la sécurité nationale ou la sécurité et la sûreté des citoyens américains.

Bloomberg a rapporté environ un mois après l’attaque que l’entreprise avait probablement été piratée par un mot de passe divulgué sur un ancien compte qui avait accès au réseau privé virtuel (VPN) utilisé pour accéder à distance aux serveurs de l’entreprise. Le compte n’aurait apparemment pas d’authentification multifacteur, de sorte que les pirates n’avaient besoin de connaître que le nom d’utilisateur et le mot de passe pour accéder au plus grand oléoduc du pays.

L’attaque souligne deux des priorités déclarées de l’administration Biden : l’amélioration des infrastructures américaines et la cybersécurité. Il a été démontré que le piratage russe à grande échelle de SolarWinds, divulgué en décembre 2020, avait affecté plusieurs systèmes du gouvernement fédéral. Biden a alors déclaré qu’en tant que président, « mon administration fera de la cybersécurité une priorité absolue à tous les niveaux de gouvernement – ​​et nous ferons de la gestion de cette violation une priorité absolue dès notre entrée en fonction. … Je ne resterai pas les bras croisés face aux cyber-attaques contre notre nation.

Biden a également dévoilé un plan d’infrastructure de 2 000 milliards de dollars qui comprend 100 milliards de dollars pour moderniser le réseau électrique, que les experts en cybersécurité espéraient inclure des mesures de cybersécurité améliorées. Biden a également suspendu le décret exécutif du système d’alimentation en vrac Trump pour déployer son propre plan.

Et Biden a signé un décret visant à renforcer les normes de cybersécurité du gouvernement fédéral pour les services logiciels et technologiques qu’il utilise, qu’un haut responsable de l’administration a décrit comme un changement fondamental dans l’approche du gouvernement fédéral en matière d’incidents de cybersécurité – loin des réponses ponctuelles et vers une tentative de les empêcher de se produire en premier lieu. La commande est en préparation depuis peu de temps après l’entrée en fonction de Biden, a déclaré le responsable.

Mais ces mesures sont davantage axées sur la prévention d’une autre attaque de type SolarWinds. Des responsables fédéraux ont déclaré au New York Times qu’ils ne pensaient pas que l’ordonnance faisait assez pour empêcher une attaque sophistiquée, et qu’elle ne s’appliquerait pas non plus à une société privée comme Colonial. L’attaque de l’oléoduc pourrait renforcer les exigences de normes de cybersécurité pour les entreprises qui jouent un rôle important dans la vie des Américains. Dans l’état actuel des choses, il leur appartient souvent de choisir les mesures de sécurité qu’ils utilisent pour protéger les systèmes critiques.

“Le ransomware concerne l’extorsion, et l’extorsion est une question de pression”, a déclaré à Recode James Shank, architecte en chef des services communautaires de la société de cybersécurité Team Cymru. « L’impact sur la distribution de carburant attire immédiatement l’attention des gens. … Cela souligne la nécessité d’un effort coordonné qui relie les capacités des secteurs public et privé pour protéger nos intérêts nationaux. »

Le pipeline a pu être remis en service avant une interruption majeure ou prolongée de la chaîne d’approvisionnement en carburant, et les portefeuilles des clients n’ont pas été trop touchés. Mais le prochain – et de nombreux experts en cybersécurité craignent qu’il y en ait un ou plusieurs prochains – pourrait être bien pire si des mesures ne sont pas prises au plus haut niveau pour l’empêcher.

« La fermeture du Colonial Pipeline par des cybercriminels met en évidence un problème majeur – de nombreuses entreprises qui exploitent notre infrastructure critique ont laissé leurs systèmes vulnérables aux pirates informatiques grâce à une cybersécurité dangereusement négligente », a déclaré le sénateur Ron Wyden (D-OR) dans un communiqué. . “Le Congrès doit prendre des mesures pour responsabiliser les entreprises d’infrastructures critiques et les forcer à sécuriser leurs systèmes informatiques.”

BABA Stock : est-il temps de revenir dans Alibaba ?

Le président français Macron giflé au visage par un membre de la foule criant un cri de guerre médiéval .