+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    685
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 685
    Points : 15 096
    Points
    15 096

    Par défaut Des entreprises du secteur de l’énergie en Europe et aux USA ciblées par le groupe de pirates Dragonfly 2.0,

    Des entreprises du secteur de l’énergie en Europe et aux USA ciblées par le groupe de pirates Dragonfly 2.0,
    doit-on craindre des attaques imminentes ?

    En 2015, et plus précisément au mois de décembre de cette année, des pirates informatiques ont infiltré le système informatique des réseaux de distribution d’électricité de plusieurs compagnies régionales et ont provoqué une coupure d’électricité dans l’ouest de l’Ukraine. Pour cette attaque, Symantec a pointé du doigt le groupe de pirates Sandworm. Un peu plus d’un an après cette première attaque, l’Ukraine a été à nouveau frappée par une attaque qui a paralysé le système informatique de l’entreprise de fourniture d’énergie Ukrenergo et a entraîné une panne d’électricité privant une partie de l’Ukraine d’énergie. Pour cette attaque, l’Ukraine a condamné la Russie.

    Depuis des années, Symantec mène des enquêtes sur plusieurs groupes de pirates informatiques et a déjà détecté des activités suspectes liées au secteur énergétique datant d’au moins 2011 et imputées au groupe de pirates Dragonfly.

    Dans un récent rapport, l’entreprise de sécurité Symantec rapporte qu’elle détiendrait des preuves de ce que Dragonfly a refait surface depuis 2015 et mène de nouvelles campagnes avec des outils et tactiques utilisées dans les campagnes passées. Pour ces nouvelles campagnes que Symantec a rebaptisées « campagnes de Dragonfly 2.0 », l’entreprise de sécurité indique qu’elle a de fortes indications que ce groupe mènerait des activités dans « des organisations aux États-Unis, en Turquie et en Suisse, avec des traces d’activités dans des organisations extérieures à ces pays. » Tout comme dans les attaques menées entre 2011 et 2014, « Dragonfly 2.0 utilise une variété de vecteurs d’infection dans le but d’accéder au réseau des victimes. »

    La première activité identifiée par Symantec dans cette nouvelle campagne est une campagne malveillante de courriers électroniques dans laquelle les attaquants ont envoyé des courriels à des cibles dans le secteur de l’énergie en décembre 2015 sous la forme d’invitations à une fête du Nouvel An. En plus de cette campagne de 2015, le groupe aurait mené d’autres campagnes de courriels malveillants entre 2016 et 2017. Encore une fois, des courriels contenant des informations très spécifiques liées au secteur de l’énergie, ainsi que certains liés aux préoccupations commerciales générales ont été envoyés à des personnes travaillant dans le domaine de l’énergie. Et lorsque les pièces jointes des emails ont été ouvertes, le code malicieux attaché à ces pièces jointes aurait tenté d’envoyer les informations d’identification réseau de la victime sur un serveur indiqué par l’attaquant.

    Il convient de souligner que Symantec n’est pas la seule entreprise à avoir identifié cette campagne de phishing menée par des tiers malveillants dans le domaine de l’énergie. En effet, au mois de juillet dernier, Cisco a rapporté que des acteurs tapis dans l’ombre se seraient servis de la boîte à outils Phishery pour voler les identifiants de personnes travaillant dans le secteur de l’énergie. Et après avoir analysé les emails envoyés et les documents attachés à ces emails, Symantec est également parvenue à la même conclusion.

    À côté des campagnes de vols d’identification menées avec les emails infectés, Symantec informe que les attaquants ont également utilisé des attaques de points d’eau pour récolter des informations d’identification réseau, en compromettant les sites web susceptibles d’être visités par les acteurs du secteur de l’énergie.

    Les identifiants volés ont ensuite été utilisés pour suivre des organisations cibles. Dans un cas observé, après qu’une victime ait visité l’un des serveurs compromis, Backdoor.Goodor a été installé sur la machine de ce dernier via PowerShell, onze jours plus tard. Backdoor.Goodor est un cheval de Troie qui fournit aux attaquants un accès à distance sur la machine de la victime.

    Le troisième exploit utilisé pour infecter les systèmes des entreprises ciblées est l’ajout de chevaux de Troie dans des applications légitimes. Pour ces récentes campagnes également, le groupe a utilisé ce moyen et particulièrement le framework Shellter pour développer des applications contenant des chevaux de Troie. Les applications connues comme ayant été modifiées par le groupe sont des applications standard de Windows dans lesquelles le malware Backdoor.Dorshel aurait été ajouté.

    D’autres éléments à la disposition de Symantec tendraient également à prouver que des mises à jour falsifiées du plug-in Flash auraient été utilisées pour installer des portes dérobées sur les réseaux des personnes ciblées. Et à partir de ces portes dérobées, les attaquants pourraient s’infiltrer dans les systèmes des victimes pour installer d’autres outils si nécessaire.

    Comme on peut le constater, Dragonfly 2.0 serait actuellement au stade de la collecte d’informations dans les différents pays cités plus haut. Mais généralement, ces activités sont des signes avant-coureurs des attaques de sabotage des systèmes opérationnels des entreprises énergétiques, note Symantec.

    Bien que de nombreux forfaits aient été déjà attribués à des pirates russes, Symantec précise que le code du malware qui a été analysé par leurs soins montre des caractères en russe, mais aussi en français, ce qui indique qu’il est trop pour donner des certitudes sur les auteurs de ces nouvelles campagnes.

    Source : Symantec

    Et vous ?

    Ces alertes d’attaques futures des entreprises énergétiques frisent-elles la paranoïa, selon vous ?

    Ou doit-on réellement s’attendre à des attaques provoquant des coupures d’électricité dans des pays ?

    Quelle solution peut-on envisager pour prévenir ces attaques si elles devaient survenir ?

    Voir aussi

    Des hackers utilisent un malware pour faire tomber le réseau électrique dans l’ouest de l’Ukraine
    Industroyer : un malware conçu pour prendre le contrôle des lignes électriques est celui qui a récemment plongé Kiev dans le noir
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club
    Profil pro
    Développeur informatique
    Inscrit en
    mai 2012
    Messages
    31
    Détails du profil
    Informations personnelles :
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2012
    Messages : 31
    Points : 55
    Points
    55

    Par défaut

    Franchement j'ai cru que c'etais le mechant russe qui essaye encore de se jouer du monde occidental. Dommage

Discussions similaires

  1. Combien a-t-on payé aux ingénieurs en 2014 en Europe et aux USA ?
    Par Michael Guilloux dans le forum Actualités
    Réponses: 15
    Dernier message: 21/03/2015, 18h43
  2. Réponses: 3
    Dernier message: 17/09/2012, 09h24
  3. Windows 7 sera jusqu'à 163 % plus cher en Europe qu'aux USA
    Par Katleen Erna dans le forum Windows 7
    Réponses: 209
    Dernier message: 08/09/2009, 15h07
  4. Windows 7 sera jusqu'à 163 % plus cher en Europe qu'aux USA
    Par Katleen Erna dans le forum Actualités
    Réponses: 210
    Dernier message: 17/08/2009, 11h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo