Le secteur de l’énergie connaissait des problèmes avant la pandémie mondiale, mais la propagation du COVID-19 n’a fait qu’exaspérer les industriels.
Les compagnies pétrolières ont toujours été une cible logique pour les pirates informatiques. Lorsque les temps sont favorables, ces entreprises disposent de liquidités et les attaques de ransomwares sont ainsi très rentables.
La structure de l’industrie augmente également sa vulnérabilité. En effet, le secteur de l’énergie est un réseau complexe de sites, d’entrepreneurs et de sous-traitants qui partagent des réseaux. Les travailleurs sont habitués à travailler avec des étrangers et sont donc moins protégés.
Une main-d’œuvre très dynamique et fluctuante rend également la formation à la cybersécurité presque impossible. De plus, la dépendance énergétique du monde entier donne aux pirates informatiques la possibilité de créer d’énormes perturbations à l’échelle mondiale avec leurs attaques.
Les cyberattaques ne sont pas toujours motivées par l’argent
Bien sûr, les compagnies pétrolières ne sont pas les seules à risquer d’être en manque de liquidités.
Un grand nombre d’entre elles voient leurs réserves de liquidités diminuer en raison de la conjoncture économique. Mais si les attaques de ransomwares sont en baisse, avec autant d’entreprises qui n’ont pas la capacité de payer, cela ne signifie pas que les cyberattaques ont cessé.
Depuis le mois de septembre 2019, le nombre d’attaques visant le secteur de l’énergie a augmenté chaque mois, avec plus de 13 000 signalements enregistrés jusqu’à ce jour.
Les pirates informatiques frappent le secteur lorsqu’ils sont à terre, non pas pour l’argent, mais pour l’espionnage. Le 1er avril 2020, une compagnie pétrolière basée en Algérie a été victime d’un groupe de ransomware qui a volé 500 Mo de documents confidentiels liés aux budgets, aux stratégies de l’entreprise, aux quantités de production et à d’autres informations sensibles et exclusives.
Plus tôt cette année, une organisation de piratage informatique parrainée par un État-nation a également ciblé un certain nombre de sociétés pétrolières et gazières dans le cadre d’une attaque à grande échelle.
Ces incidents et d’autres semblent être commandités par un État-Nation, car les pays se tournent actuellement vers le cyberespionnage pour atteindre leurs objectifs politiques, économiques et de sécurité nationale.
Ironiquement, certaines des compagnies pétrolières elles-mêmes pourraient être à l’origine de ces attaques dans le but d’obtenir des informations pouvant être utilisées dans les négociations à fort enjeu de l’OPEP.
Utiliser le cheval de Troie notoire « Agent Tesla » pour voler des informations
La plupart des attaques récentes contre les industries pétrolières et gazières utilisent des techniques de phishing et de spear phishing. Dans de nombreux cas, l’objectif est de tromper les utilisateurs en leur faisant cliquer sur un lien ou un document qui lance ensuite un cheval de Troie appelé Agent Tesla.
Agent Tesla est un logiciel espion (spyware) actif qui collecte et vole des informations personnelles sur la machine de la victime en capturant les frappes au clavier, en faisant des captures d’écran et en supprimant les mots de passe des navigateurs. Une fois capturées, les informations sont renvoyées à un serveur SMTP hébergé par les attaquants. Les experts en cybersécurité ont constaté une forte augmentation de son utilisation tout au long de la crise du COVID-19.
Le spyware se cache à la vue de tous depuis des années. Brian Krebs l’a signalé en 2014.
Selon Krebs, « … le site web de l’Agent Tesla et son canal d’assistance technique 24/7 (offert via Discord) est rempli de cas où le personnel d’assistance donne des instructions aux utilisateurs sur les moyens d’échapper à la détection des logiciels antivirus, d’utiliser les vulnérabilités des logiciels pour déployer la charge malveillante, et de regrouper secrètement le programme dans d’autres types de fichiers, tels que des images, du texte, de l’audio et même des fichiers Microsoft Office. »
Les attaques de phishing font preuve d’une grande attention aux détails
Comme nous le savons, les escroqueries de phishing sont de plus en plus sophistiquées. De nombreuses attaques ne sont plus caractérisées par une orthographe et une grammaire incorrectes. Les motifs de ces types d’arnaques sont beaucoup plus réalistes et séduisants également.
Par exemple, nombre des attaques lancées contre le secteur de l’énergie sont liées aux possibilités de rabais dont les entreprises peuvent profiter en ces temps de difficultés financières, comme le préachat de fournitures.
C’est ce souci du détail et des spécificités du secteur qui préoccupe les professionnels de la cybersécurité. Une des campagnes de spear phishing qui a incorporé l’Agent Tesla a eu lieu entre le 31 mars et le 12 avril. L’expéditeur présumé a invité les destinataires à soumettre des propositions d’offres pour des équipements et du matériel dans le cadre d’un véritable projet de gazoduc détenu à moitié par une compagnie pétrolière nationale égyptienne.
L’e-mail a été envoyé à plus de 150 sociétés gazières et pétrolières, situées pour la plupart en Malaisie, aux États-Unis, en Afrique du Sud et en Iran.
Au mois d’avril dernier, une autre campagne de phishing semblait provenir d’une compagnie maritime qui a utilisé des informations légitimes concernant un projet gazier aux Philippines.
Seule une personne connaissant bien l’industrie pétrolière aurait été capable de rédiger ces e-mails et de porter une attention particulière aux détails, ce qui a convaincu certains destinataires de cliquer sur le document joint, lequel se faisait passer pour une proposition d’offre officielle.
Leçons à tirer de ces attaques cybercriminelles
La fréquence et la sophistication croissantes des attaques de phishing constituent une menace réelle pour les organisations de tous les secteurs industriels. Les pirates utilisent des techniques très complexes qui ne peuvent pas être facilement identifiées par les utilisateurs lambda.
En outre, l’augmentation du nombre d’employés travaillant à distance accroît la vulnérabilité de ce genre d’utilisateurs qui sont contraints de s’isoler. Alors, comment pouvez-vous lutter contre ces menaces récentes ? Voici quelques mesures que vous pouvez adopter :
- La sophistication croissante des attaques de phishing exige un système de sécurité des e-mails plus sophistiqué comme SpamTitan, qui comprend des outils avancés tels que la double protection antivirus et le sandboxing. SpamTitan Cloud est également une couche de sécurité supplémentaire essentielle pour protéger Office 365 contre les malwares et les attaques de type « zero day ».
- Comme les cyberattaques ont souvent une composante courriel et web, une solution de filtrage web puissante basée sur le DNS comme WebTitan fournira une protection complète contre les menaces en ligne telles que les virus, les malwares, les ransomwares, le phishing et un filtrage complet du contenu.
- La formation à la cybersécurité pour vos employés est plus importante que jamais, car les utilisateurs se retrouvent désormais seuls à travailler depuis des espaces de travail distants.
- En raison de l’évolution de la structure de l’industrie d’aujourd’hui, des systèmes de sécurité basés dans le cloud sont nécessaires afin d’adapter instantanément les mesures de sécurité aux nouvelles menaces cybercriminelles.
Contactez les spécialistes de la cybersécurité de TitanHQ pour savoir comment vous pouvez mieux préparer votre entreprise aux éventuelles cyberattaques lancées via la messagerie électronique et le web.