De nouvelles recherches ont découvert plus de 145 000 systèmes de contrôle industriel (ICS) exposés à Internet dans 175 pays, les États-Unis représentant à eux seuls plus d’un tiers du total des expositions.
Le analyselequel vient de la société de gestion des surfaces d’attaque Censys, a constaté que 38 % des appareils sont situés en Amérique du Nord, 35,4 % en Europe, 22,9 % en Asie, 1,7 % en Océanie, 1,2 % en Amérique du Sud et 0,5 % en Afrique.
Les pays les plus exposés aux services ICS sont les États-Unis (plus de 48 000), la Turquie, la Corée du Sud, l’Italie, le Canada, l’Espagne, la Chine, l’Allemagne, la France, le Royaume-Uni, le Japon, la Suède, Taïwan, la Pologne et la Lituanie.
Les mesures sont dérivées de l’exposition de plusieurs protocoles ICS couramment utilisés tels que Modbus, IEC 60870-5-104, CODESYS, OPC UA et autres.
Un aspect important qui ressort est que les surfaces d’attaque sont uniques au niveau régional : Modbus, S7 et CEI 60870-5-104 sont plus largement observés en Europe, tandis que Fox, BACnet, ATG et C-more sont plus couramment trouvés dans le Nord. Amérique. Certains services ICS utilisés dans les deux régions incluent EIP, FINS et WDBRPC.
De plus, 34 % des interfaces homme-machine (IHM) C-more sont liées à l’eau et aux eaux usées, tandis que 23 % sont associées aux processus agricoles.
« Beaucoup de ces protocoles remontent aux années 1970 mais restent fondamentaux pour les processus industriels sans les mêmes améliorations de sécurité que le reste du monde a connues », a déclaré Zakir Durumeric, co-fondateur et scientifique en chef de Censys, dans un communiqué.
« La sécurité des appareils ICS est un élément essentiel dans la protection des infrastructures critiques d’un pays. Pour la protéger, nous devons comprendre les nuances de la façon dont ces appareils sont exposés et vulnérables. »
Les cyberattaques ciblant spécifiquement les systèmes ICS ont été relativement rares, avec seulement neuf souches de logiciels malveillants découvertes à ce jour. Cela dit, on a constaté une augmentation des logiciels malveillants centrés sur ICS ces dernières années, notamment à la suite de la guerre russo-ukrainienne en cours.
Plus tôt en juillet, Dragos a révélé qu’une société énergétique située en Ukraine était la cible d’un logiciel malveillant connu sous le nom de FrostyGoop, qui exploite les communications Modbus TCP pour perturber les réseaux de technologie opérationnelle (OT).
Également appelé BUSTLEBERM, le malware est un outil de ligne de commande Windows écrit en Golang qui peut provoquer un dysfonctionnement des appareils exposés publiquement et finalement entraîner un déni de service (DoS).
« Bien que des acteurs malveillants aient utilisé le logiciel malveillant pour attaquer les appareils de contrôle ENCO, le logiciel malveillant peut attaquer tout autre type d’appareil utilisant Modbus TCP », ont déclaré Asher Davila et Chris Navarrete, chercheurs de l’unité 42 de Palo Alto Networks. dit dans un rapport publié plus tôt cette semaine.
« Les détails nécessaires à FrostyGoop pour établir une connexion Modbus TCP et envoyer des commandes Modbus à un périphérique ICS ciblé peuvent être fournis sous forme d’arguments de ligne de commande ou inclus dans un fichier de configuration JSON distinct. »
Selon les données de télémétrie capturées par l’entreprise, 1 088 175 appareils Modbus TCP ont été exposés à Internet sur une période d’un mois entre le 2 septembre et le 2 octobre 2024.
Les acteurs menaçants ont également jeté leur dévolu sur d’autres entités d’infrastructures critiques comme les autorités de l’eau. Lors d’un incident enregistré aux États-Unis l’année dernière, la Municipal Water Authority d’Aliquippa, en Pennsylvanie, a été victime d’une violation en tirant parti des contrôleurs logiques programmables (PLC) Unitronics exposés sur Internet pour dégrader les systèmes avec un message anti-israélien.
Censys a constaté que les IHM, utilisées pour surveiller et interagir avec les systèmes ICS, sont également de plus en plus mises à disposition sur Internet pour prendre en charge l’accès à distance. La majorité des IHM exposées sont situées aux États-Unis, suivis par l’Allemagne, le Canada, la France, l’Autriche, l’Italie, le Royaume-Uni, l’Australie, l’Espagne et la Pologne.
Il est intéressant de noter que la plupart des IHM et des services ICS identifiés résident chez des fournisseurs de services Internet (FAI) mobiles ou professionnels tels que Verizon, Deutsche Telekom, Magenta Telekom et Turkcell, entre autres, offrant des métadonnées négligeables sur qui utilise réellement le système.
« Les IHM contiennent souvent des logos d’entreprise ou des noms d’usines qui peuvent faciliter l’identification du propriétaire et du secteur », a déclaré Censys. « Les protocoles ICS offrent rarement les mêmes informations, ce qui rend presque impossible l’identification et la notification des propriétaires d’expositions. La coopération des principales sociétés de télécommunications hébergeant ces services est probablement nécessaire pour résoudre ce problème. »
Le fait que les réseaux ICS et OT offrent une large surface d’attaque que les acteurs malveillants peuvent exploiter nécessite que les organisations prennent des mesures pour identifier et sécuriser les appareils OT et ICS exposés, mettre à jour les informations d’identification par défaut et surveiller les réseaux à la recherche d’activités malveillantes.
Le risque pour de tels environnements est aggravé par un pic de malwares botnet — Aisuru, Kaiten, Gafgyt, Kaden et LOLFME – exploiter les informations d’identification par défaut d’OT pour non seulement les utiliser pour mener des attaques par déni de service distribué (DDoS), mais également pour effacer les données qu’elles contiennent.
La divulgation intervient quelques semaines après que Forescout a révélé que les postes de travail d’imagerie numérique et de communications en médecine (DICOM), les systèmes d’archivage et de communication d’images (PACS), les contrôleurs de pompes et les systèmes d’information médicale sont les dispositifs médicaux les plus à risque pour les organismes de prestation de soins de santé (HDO).
DICOM est l’un des services les plus utilisés par les appareils Internet des objets médicaux (IoMT) et l’un des plus exposés en ligne, a noté la société de cybersécurité, avec un nombre important d’instances situées aux États-Unis, en Inde, en Allemagne, au Brésil, en Iran, et la Chine.
« Les organismes de santé continueront à être confrontés à des défis liés aux dispositifs médicaux utilisant des systèmes existants ou non standard », a déclaré Daniel dos Santos, responsable de la recherche sur la sécurité chez Forescout. dit.
« Un seul point faible peut ouvrir la porte à des données sensibles sur les patients. C’est pourquoi l’identification et la classification des actifs, la cartographie des flux de communications du réseau, la segmentation des réseaux et la surveillance continue sont essentiels pour sécuriser les réseaux de soins de santé en pleine croissance.