WatchGuard Technologies, entreprise spécialisée en cybersécurité unifiée pour les fournisseurs de services gérés, a publié The WatchGuard Geopolitical Cyber Report, un nouveau rapport d’intelligence sur les menaces qui analyse le lien entre l’instabilité géopolitique et l’augmentation des risques cybernétiques pour les infrastructures critiques.
Ce document met en lumière l’activité de CyberAv3ngers, un groupe également connu sous les noms de Shahid Kaveh Group, Storm-0784, Hydro Kitten, UNC5691 ou CL-STA-1128. Selon l’analyse, cette organisation liée à l’Iran aurait mené des campagnes contre des contrôleurs logiques programmables (PLC) et des environnements de technologie opérationnelle (OT) utilisés dans les infrastructures critiques d’Amérique du Nord.
Bien que l’étude se concentre principalement sur cette région, les techniques identifiées ont une importance pour d’autres marchés, en particulier celles d’entreprises qui exploitent des systèmes industriels, des dispositifs OT ou des infrastructures connectées exposées à Internet.
Ce travail a été réalisé par Paolo Omezzolli, analyste SOC chez WatchGuard en Espagne. Sa responsabilité porte sur la recherche d’incidents de sécurité, le soutien à l’élaboration de rapports d’alerte pour les clients et le développement d’intelligence sur les menaces, avec une attention particulière à l’impact géopolitique des campagnes cybernétiques actuelles.
Le cyberespace comme prolongement de la tension géopolitique
L’analyse s’inscrit dans un contexte international marqué par l’augmentation des tensions géopolitiques et par la consolidation du cyberespace en tant que nouveau front de confrontation. Selon le rapport, suite à la montée des tensions analysées, 1 245 cyberattaques ont été constatées, impliquant 99 acteurs de menaces et 14 pays, illustrant comment les crises internationales se traduisent de plus en plus directement dans le domaine numérique.
Une des principales conclusions est que les attaques visant des environnements OT ne doivent pas être considérées comme des incidents informatiques classiques. WatchGuard met en garde contre le fait que ces campagnes ne se limitent plus à voler des données, crypter des informations ou perturber des services numériques, mais peuvent aussi impacter des systèmes industriels contrôlant des processus physiques. La compromission de PLC, par exemple, peut entraîner des défaillances de pompes, de vannes, de lignes de production ou de systèmes d’approvisionnement, avec des conséquences possibles sur la continuité opérationnelle et les services essentiels.
Le rapport attire également l’attention sur l’exposition mondiale de ces dispositifs. Selon l’enquête, 5 219 hôtes accessibles depuis Internet répondent au protocole EtherNet/IP. Bien que la majorité soit située aux États-Unis, l’étude identifie aussi des présences en Espagne, avec 110 dispositifs, ainsi qu’en Taïwan, en Italie et dans d’autres pays.
Secteurs touchés et principaux résultats
Parmi les secteurs concernés ou visés par cette menace figurent les systèmes d’eau et eaux usées, le secteur de l’énergie, les services publics, les institutions gouvernementales, ainsi que des signes d’activité dans d’autres secteurs industriels et dépendant de l’OT via des ports spécifiques.
Parmi les résultats clés, WatchGuard souligne que CyberAv3ngers a compromis des PLC exposés à Internet, et que cette campagne a déjà provoqué des interruptions opérationnelles, la manipulation d’écrans HMI/SCADA, ainsi que des pertes économiques pour les organisations concernées. Le rapport indique aussi que les attaquants utilisent des outils d’ingénierie légitime pour établir des connexions avec les systèmes des victimes, rendant la détection à l’aide de méthodes classiques, basées uniquement sur des logiciels malveillants, plus difficile.
L’étude insiste sur le fait que toute organisation disposant de technologies OT accessibles depuis Internet doit considérer qu’elle se trouve potentiellement dans le champ d’action de cette menace, et qu’elle doit évaluer en priorité son exposition, notamment si elle exploite des dispositifs accessibles depuis le réseau public ou des services utilisant des ports industriels accessibles habituellement dans ces environnements.
Recommandations pour limiter les risques
WatchGuard recommande aux entreprises d’identifier tous les dispositifs OT accessibles depuis Internet, de surveiller leur surface d’attaque externe, de couper ou d’isoler, via un pare-feu, les systèmes de contrôle accessibles publiquement, de renforcer l’authentification, d’analyser les indicateurs de compromission dans les journaux réseau et DNS, de segmenter les environnements IT et OT, de valider des copies de sauvegarde hors ligne, et de revoir leurs plans de réponse aux incidents adaptés aux scénarios industriels.
En conclusion, le rapport insiste sur le fait que la relation entre la géopolitique et la cybersécurité doit être considérée comme un facteur de risque permanent, et pas comme un épisode isolé lié à une crise spécifique. Pour WatchGuard, une visibilité continue, la réduction de l’exposition, la segmentation des réseaux et une capacité d’intervention rapide seront essentielles pour protéger les infrastructures critiques face à des campagnes de plus en plus sophistiquées, ayant des impacts potentiels sur le monde physique.