Un nouvel avis de la Maison Blanche concernant les groupes menaçants d'Iran et de Chine ciblant les systèmes américains d'eau et de traitement des eaux usées a une fois de plus attiré l'attention sur la vulnérabilité persistante du secteur aux cyberattaques perturbatrices.
L'avertissement – signé conjointement par l'administrateur de l'EPA Michael Regan et Jake Sullivan, conseiller à la sécurité nationale du président Biden – appelle les exploitants d'installations d'eau et de traitement de l'eau à revoir de toute urgence leurs pratiques en matière de cybersécurité. Il préconise la nécessité pour les parties prenantes de déployer des contrôles d’atténuation des cyber-risques là où cela est nécessaire et de mettre en œuvre des plans pour se préparer aux attaques, y répondre et s’en remettre.
Un Appel à l'action
« Dans de nombreux cas, même les précautions de base en matière de cybersécurité – telles que la réinitialisation des mots de passe par défaut ou la mise à jour des logiciels pour remédier aux vulnérabilités connues – ne sont pas en place et peuvent faire la différence entre le statu quo et une cyberattaque perturbatrice », a averti la Maison Blanche.
Cette note découle des inquiétudes suscitées par des attaques comme celle de novembre dernier contre le Autorité municipale des eaux d'Aliquippa en Pennsylvanie par un groupe parrainé par l’État iranien appelé CyberAv3ngers. Lors de cette attaque, le l'acteur menaçant a pris le contrôle et a fermé un automate programmable (PLC) Unitronics pour surveiller et réguler la pression de l'eau dans deux cantons. Même si l’attaque n’a finalement posé aucun risque pour l’eau potable et l’approvisionnement en eau des deux communautés, elle a servi d’avertissement sur les dommages potentiels que les adversaires pourraient causer en ciblant les systèmes d’approvisionnement en eau.
Le mémo de la Maison Blanche publié cette semaine a mis en garde contre de telles attaques comme une menace permanente contre les systèmes d'eau et d'assainissement à travers le pays. Il a attribué les attaques spécifiquement à des cybercriminels liés au Corps des Gardiens de la révolution islamique (CGRI) du gouvernement iranien et à Volt Typhoon, un acteur menaçant soutenu par la Chine et associé à de nombreuses attaques récentes contre des infrastructures critiques américaines.
Regan et Sullivan ont décrit les attaques perpétrées par des acteurs iraniens comme étant conçues pour perturber et dégrader les technologies opérationnelles (OT) critiques dans les installations de distribution d’eau américaines. Ils ont caractérisé les attaques de Volt Typhoon comme une tentative de se positionner correctement pour de futures activités de perturbation en réponse à tout conflit militaire potentiel ou à la montée des tensions géopolitiques entre les États-Unis et la Chine.
L'Agence américaine de cybersécurité et d'infrastructure (CISA), le FBI, la NSA, ainsi que des fournisseurs de sécurité et des chercheurs ont récemment émis une série d'avertissements concernant les attaques Volt Typhoon contre des cibles d'infrastructures critiques. Les avertissements en incluent un concernant l'acteur menaçant qui frappe plusieurs services publics d'électricité américains, exploitant routeurs Cisco vulnérables pour construire son réseau d'attaque, et se prépositionner pour des attaques potentiellement paralysantes contre les infrastructures critiques américaines à l’avenir.
Une cible attractive
"Les systèmes d'eau potable et d'assainissement sont une cible attrayante pour les cyberattaques car ils constituent un secteur d'infrastructure vital, mais manquent souvent de ressources et de capacités techniques pour adopter des pratiques rigoureuses de cybersécurité", a déclaré la Maison Blanche dans sa note de cette semaine.
Nick Tausek, architecte principal de l'automatisation de la sécurité chez Swimlane, affirme que par rapport à des secteurs comme la production d'électricité, les infrastructures hydrauliques reçoivent beaucoup moins d'attention du point de vue de la cybersécurité. « Il n'est pas difficile d'imaginer un acteur étatique utiliser cette cible historiquement facile pour dégrader simultanément la sécurité de l'eau dans plusieurs régions du pays lors d'un futur conflit », dit-il. De telles attaques peuvent « éroder la confiance dans les institutions, nuire à la population et épuiser les ressources nécessaires pour faire face à la crise de l’eau ».
Casey Ellis, fondateur et directeur de la stratégie chez Bugcrowd, affirme que de nombreux systèmes au sein des infrastructures d'eau – comme ailleurs dans les environnements OT et ICS – reposent sur d'anciens logiciels et systèmes d'exploitation qui présentent souvent des vulnérabilités connues. « Pour ces types de systèmes, les conseils traditionnels « appliquer des correctifs, mettre en œuvre l'authentification multifacteur et utiliser des mots de passe forts » ne fonctionnent pas nécessairement, en raison de leur âge », dit-il. En général, dit Ellis, les opérateurs devraient assurer une segmentation appropriée des systèmes de contrôle des systèmes d'entreprise et d'Internet et devraient s'adresser à leurs fournisseurs de middleware pour obtenir des conseils spécifiques aux produits.
Ellis, comme d'autres experts en sécurité, souligne un incident spécifique comme raison de l'intérêt des acteurs menaçants pour les systèmes d'eau : une attaque signalée en 2021 contre une installation de traitement de l'eau à Oldsmar, en Floride, aurait causé le niveau de lessive augmente à des niveaux toxiques avant d’être détectés, par exemple. « Dans l'attaque Oldsmar, tout ce dont [l'attaquant] avait besoin était un nom d'utilisateur et un mot de passe hameçonnés pour un compte TeamViewer. J'ai personnellement vu ce type de systèmes sur l'Internet ouvert », explique Ellis.
Mesures de défense
En partie pour prévenir de telles attaques, la loi de 2023 sur la cybersécurité des systèmes d'eau en milieu rural alloué 7.5 millions de dollars à la sécurité du financement les systèmes d’approvisionnement en eau ruraux comptent parmi les plus vulnérables aux attaques perturbatrices. L'argent financera au cours des prochaines années ce que l'on appelle un programme Circuit Rider, dans le cadre duquel des experts en cybersécurité se rendront dans de petites installations hydrauliques rurales et les aideront à mettre en œuvre une cybersécurité renforcée.
Chad Graham, responsable du CIRT chez Critical Start, affirme que dans de nombreux cas, les opérateurs eux-mêmes ont commencé à mettre en œuvre le changement. « Une approche prometteuse adoptée par les systèmes d’approvisionnement en eau et de traitement des eaux usées consiste à séparer distinctement leurs environnements de technologie de l’information (TI) et de technologie opérationnelle (OT), » dit-il. Cette approche est essentielle pour limiter les dégâts dans un environnement où une attaque réussie peut perturber l’approvisionnement en eau potable ou altérer les processus de traitement des eaux usées. « La perturbation de ces services essentiels pourrait entraîner des crises de santé publique immédiates et des dommages environnementaux à long terme. »
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/ics-ot-security/new-us-warning-highlights-vulnerability-of-us-water-systems-to-cyberattacks
- :possède
- :est
- :ne pas
- :où
- $UP
- 2021
- 2023
- 7
- a
- Qui sommes-nous
- Compte
- Agis
- Action
- activité
- acteurs
- propos
- adopter
- L'adoption d'
- conseiller
- consultatif
- défenseurs
- encore
- à opposer à
- âge
- agence
- Tous
- parmi
- an
- ainsi que les
- et infrastructure
- tous
- Appliquer
- une approche
- SONT
- domaines
- autour
- AS
- associé
- At
- attaquer
- attaquant
- Attaques
- tentative
- précaution
- attrayant
- autorité
- Automation
- et
- Essentiel
- BE
- car
- before
- commencé
- va
- jusqu'à XNUMX fois
- biden
- construire
- la performance des entreprises
- mais
- by
- Appelez-nous
- appelé
- Appels
- CAN
- Compétences
- cas
- Causes
- Change
- caractérisé
- chef
- Chine
- Cisco
- Communautés
- par rapport
- Préoccupations
- conflit
- continue
- des bactéries
- contrôleur
- contrôles
- Entreprises
- corps
- pourriez
- Pays
- paralysant
- crises
- crise
- critique
- Infrastructure critique
- cyber
- Cyber-attaque
- cyber-attaques
- Cybersécurité
- des dommages
- affaire
- Réglage par défaut
- Défense
- déployer
- décrit
- un
- détecté
- différence
- Perturber
- Perturbation
- perturbateur
- distinctement
- doesn
- deux
- pendant
- Easy
- Électrique
- ailleurs
- terminé
- assurer
- Environment
- environnementales
- environnements
- EPA
- essential
- services essentiels
- Pourtant, la
- exemple
- de santé
- Explique
- exploitant
- installations
- Facilité
- FBI
- Feds
- Floride
- furieux
- concentré
- Pour
- fondateur
- de
- fund
- financement
- avenir
- gagné
- Général
- génération
- géopolitique
- obtenez
- Gouvernement
- Graham
- Réservation de groupe
- Groupes
- Garde
- l'orientation
- Dur
- nuire
- Vous avez
- he
- Santé
- vous aider
- historiquement
- frappe
- Villa
- HTTPS
- i
- image
- Immédiat
- Mettre en oeuvre
- la mise en œuvre
- in
- incident
- comprendre
- d'information
- technologie de l'information
- Infrastructure
- les établissements privés
- intérêt
- Internet
- implique
- l'Iran
- iranien
- Islamique
- Publié
- IT
- SES
- jpg
- connu
- Peindre
- Nom de famille
- conduire
- moins
- Niveau
- niveaux
- comme
- logique
- long-term
- manager
- de nombreuses
- signifier
- les mesures
- Note
- MFA
- Michael
- Militaire
- million
- atténuation
- de l'argent
- Stack monitoring
- PLUS
- (en fait, presque toutes)
- beaucoup
- plusieurs
- Nationales
- la sécurité nationale
- nécessairement
- Besoin
- nécessaire
- réseau et
- Nouveauté
- next
- Novembre
- NSA
- nombreux
- of
- Financier
- souvent
- Vieux
- on
- une fois
- ONE
- en cours
- ouvert
- d'exploitation
- systèmes d'exploitation
- opérationnel
- opérateurs
- or
- ot
- Autre
- plus de
- partie
- Mot de Passe
- mots de passe
- Patches
- Personnellement
- Place
- plans
- Platon
- Intelligence des données Platon
- PlatonDonnées
- PLC
- des notes bonus
- position
- défaillances
- l'éventualité
- power
- pratiques
- Préparer
- président
- président biden
- la parfaite pression
- empêcher
- les process
- Programme
- programmable
- prometteur
- correct
- fournisseurs
- public
- santé publique
- raison
- reçoit
- récent
- récemment
- Récupérer
- régulateur
- compter
- Signalé
- conditions
- chercheurs
- Resources
- Réagir
- réponse
- Avis
- révolutionnaire
- rigoureux
- hausse
- risques
- Rural
- s
- des
- Sécurité
- Saïd
- dit
- secteur
- Secteurs
- sécurité
- vu
- segmentation
- séparation
- servi
- Services
- plusieurs
- devrait
- fermer
- signé
- simultanément
- Séance
- petit
- Logiciels
- parlant
- groupe de neurones
- spécifiquement
- parties prenantes
- point de vue
- Commencer
- découle
- de Marketing
- STRONG
- plus efficacement
- réussi
- tel
- Sullivan
- la quantité
- Système
- Target
- ciblage
- objectifs
- Technique
- Technologie
- des tensions
- qui
- Les
- leur
- Les
- se
- Ces
- l'ont
- this
- cette semaine
- bien que?
- menace
- acteurs de la menace
- Attaché
- à
- traditionnel
- Voyage
- traitement
- La confiance
- deux
- types
- la mise à jour
- us
- utilisé
- en utilisant
- habituel
- Ve
- fournisseurs
- Voltage
- vulnérabilités
- vulnérabilité
- Vulnérable
- averti
- avertissement
- était
- Eau
- semaine
- WELL
- Quoi
- Qu’est ce qu'
- blanc
- maison Blanche
- sera
- comprenant
- dans les
- activités principales
- années
- zéphyrnet