Get best of the week

Deux façons de gonfler le prix du pétrole, ou Attaques contre le pétrole et le gaz comme moyen d'influencer les indices boursiers

image
2019 - Saudi Aramco , 5% . , (), , Trend Micro «Drilling Deep: A Look at Cyberattacks on the Oil and Gas Industry» . , .


La chaîne de production d’une société pétrolière et gazière comprend de nombreux processus - de l’exploration de nouveaux champs à la vente d’essence versée dans le réservoir d’une voiture, en passant par le gaz, utilisé pour préparer les repas des citadins. Tous ces processus peuvent être divisés en trois parties:

  • l'exploration et la production;
  • transport et stockage;
  • traitement et mise en œuvre.

Une entreprise pétrolière typique possède dans ses installations de production «agricoles» pour la production de pétrole à partir de puits, des parcs de stockage pour le stockage temporaire des matières premières et un système de transport pour la livraison de pétrole brut aux raffineries. Selon l'emplacement du puits, le transport peut avoir lieu via des pipelines, des trains ou des pétroliers.

Après traitement à la raffinerie, les produits finis sont accumulés dans les parcs de stockage des entreprises puis expédiés aux consommateurs.

Une entreprise de production de gaz typique est structurée de la même manière, mais son infrastructure comprend également des stations de compression qui compressent le gaz produit pour le transport vers une unité de séparation, qui à son tour sépare le gaz en divers composants d'hydrocarbures.

La tâche la plus importante de toute la chaîne de production est de surveiller et de contrôler tout ce qui compte pour la sécurité, la productivité et la qualité. Étant donné que les puits peuvent être situés dans des zones reculées avec des conditions météorologiques extrêmes, le contrôle à distance des équipements de l'installation est organisé - en utilisant des vannes, des pompes, des systèmes hydrauliques et pneumatiques, des systèmes d'arrêt d'urgence et d'extinction d'incendie.

Pour de tels systèmes, leur disponibilité est cruciale, car souvent les données de surveillance et de contrôle sont transmises en clair et aucun contrôle d'intégrité n'est effectué. Cela crée de nombreuses opportunités pour les attaquants qui peuvent envoyer des commandes à des actionneurs, remplacer des capteurs et même arrêter le fonctionnement d'un puits ou d'une raffinerie de pétrole entière.

La variété des composants d'infrastructure des sociétés pétrolières et gazières crée des opportunités d'attaques pratiquement inépuisables. Considérez les plus dangereux d'entre eux.

Sabotage des infrastructures


Après avoir pénétré le réseau de l'entreprise à l'aide d'un e-mail de phishing ou exploité une vulnérabilité ouverte, les attaquants pourront effectuer les actions suivantes qui pourraient nuire voire arrêter le fonctionnement de tout site de production:

  • modifier les paramètres du système de contrôle automatisé;
  • supprimer ou bloquer les données sans lesquelles le travail de l'entreprise est impossible;
  • falsifier les capteurs pour désactiver l'équipement.

De telles attaques peuvent être menées manuellement ou à l'aide de logiciels malveillants similaires à la vipère Shamoon / Disttrack, qui a attaqué plusieurs sociétés pétrolières et gazières en 2012. La plus importante d'entre elles était la société déjà mentionnée Saudi Aramco. À la suite de l'attaque , plus de 30 000 ordinateurs et serveurs ont été désactivés pendant 10 jours .

L'attaque de Shamoon contre Saudi Aramco a été organisée par des hacktivistes de l'épée coupante de justice jusque-là inconnue pour punir l'entreprise pour «des atrocités en Syrie, à Bahreïn, au Yémen, au Liban et en Égypte».

En décembre 2018, Shamoon a attaqué la compagnie pétrolière italienne Saipem , enlevant 300 serveurs et environ 100 ordinateurs au Moyen-Orient, en Inde, en Écosse et en Italie. Le même mois, il est devenu connuinfection par des logiciels malveillants par l'infrastructure de Petrofac .

Menaces internes


Contrairement à un attaquant externe, un initié n'a pas besoin d'étudier la structure du réseau interne de l'entreprise pendant des mois. Grâce à ces informations, un initié peut faire beaucoup plus de dégâts aux activités d'une entreprise que n'importe quel attaquant externe.

Par exemple, un initié peut:

  • Modifier les données pour créer des problèmes ou ouvrir un accès non autorisé à celles-ci;
  • supprimer ou crypter les données sur les serveurs d'entreprise, dans les dossiers publics du projet ou n'importe où il atteint;
  • voler la propriété intellectuelle de l'entreprise et la transférer à des concurrents;
  • organiser la fuite de documents d'entreprise confidentiels en les transférant à des tiers ou même en les publiant sur Internet.

Interception DNS


Ce type d'attaque est utilisé par les groupes de hackers les plus avancés. Ayant accédé à la gestion des enregistrements de domaine, un attaquant peut, par exemple, changer l'adresse d'un mail d'entreprise ou d'un serveur web en une adresse qu'il contrôle. Le résultat peut être le vol d'informations d'identification d'entreprise, l'interception de messages électroniques et la conduite d'attaques de «points d'eau», au cours desquelles des logiciels malveillants sont installés sur les ordinateurs des visiteurs d'un site frauduleux.

Pour intercepter le DNS, les pirates peuvent attaquer non pas le propriétaire, mais le registraire du nom de domaine. Après avoir compromis les informations d'identification du système de gestion de domaine, ils ont la possibilité d'apporter des modifications aux domaines contrôlés par le registraire.

Par exemple, si vous remplacez les serveurs DNS légitimes du bureau d'enregistrement par les vôtres, vous pouvez facilement rediriger les employés et les clients de l'entreprise vers des ressources de phishing en émettant leur adresse au lieu de celle d'origine. Le danger d'une telle interception est qu'un faux de haute qualité peut pendant longtemps transmettre aux attaquants les informations d'identification des utilisateurs du réseau et le contenu de la correspondance d'entreprise, sans susciter la moindre suspicion.

Il y a même des cas où, en plus du DNS, des attaquants ont pris le contrôle des certificats SSL des entreprises , ce qui a permis de décrypter le VPN et le trafic de messagerie.

Attaques par messagerie Web et serveurs VPN d'entreprise


Le Webmail et la connexion sécurisée au réseau d'entreprise via VPN sont des outils utiles pour les employés travaillant à distance. Cependant, ces services augmentent la surface d'attaque, créant des opportunités supplémentaires pour les attaquants.

Après avoir piraté un hôte de messagerie Web, les criminels peuvent étudier la correspondance et l'infiltrer pour voler des informations secrètes, ou utiliser les informations des lettres pour les attaques BEC ou introduire des logiciels malveillants pour saboter l'infrastructure.

Les attaques contre les serveurs VPN d'entreprise ne sont pas moins dangereuses. En décembre 2019, les cybercriminels ont massivement exploité la vulnérabilité CVE-2019-11510dans les solutions Pulse Connect Secure et Pulse Police Secure VPN. Grâce à elle, ils ont pénétré l'infrastructure des entreprises utilisant des services VPN vulnérables et ont volé des informations d'identification pour accéder aux informations financières. Des tentatives ont été faites pour retirer des comptes de plusieurs dizaines de millions de dollars.

Fuites de données


Les documents confidentiels de la société peuvent être rendus publics pour diverses raisons. De nombreuses fuites se produisent en raison d'un oubli en raison d'une configuration incorrecte des systèmes d'information ou en raison du faible niveau d'alphabétisation des employés travaillant avec ces documents.

Exemples:

  • Stockage de documents dans un dossier public sur un serveur Web;
  • Stockage de documents sur un serveur de fichiers public sans contrôle d'accès approprié;
  • Sauvegarde des fichiers sur un serveur public non sécurisé;
  • Placer une base de données contenant des informations classifiées dans le domaine public.

Pour rechercher des documents divulgués, aucun outil spécial n'est nécessaire; il existe assez de possibilités pour Google. La recherche de documents secrets et de vulnérabilités à l'aide des opérateurs de recherche Google - dorking - vous permet de trouver des documents secrets d'entreprises qui, pour une raison quelconque, ont été incluses dans l'index de recherche.

image
Un document confidentiel d'une compagnie pétrolière trouvé via Google Dorks. Source: Trend Micro

Le problème avec les documents divulgués est qu'ils contiennent souvent des informations que les concurrents peuvent légalement utiliser contre l'entreprise, endommager des projets à long terme ou simplement créer des risques d'image.

Le rapport de laboratoire de la compagnie pétrolière, que nous avons découvert dans le domaine public, contient des informations sur l'emplacement exact de la nappe de pétrole avec l'indication du navire qui a permis la pollution. De toute évidence, ces informations sont confidentielles et la société ne voulait guère permettre qu'elles soient accessibles au public.

Recommandations aux compagnies pétrolières et gazières


Étant donné la complexité du paysage informatique de l'industrie pétrolière et gazière, il n'y a aucun moyen de fournir une protection absolue contre les cybermenaces, mais le nombre d'attaques réussies peut être considérablement réduit. Pour ce faire, vous devez:

  1. mettre en œuvre le chiffrement du trafic des capteurs et des systèmes de contrôle - même si à première vue il peut sembler que cela ne soit pas nécessaire, l'adoption de cette mesure réduira le risque d'attaques «homme au milieu» et exclura la possibilité de substituer des commandes ou des informations provenant des capteurs;
  2. DNSSEC, DNS;
  3. DNS -;
  4. SSL- — , Common Name , , .
  5. , Google Dorks. , .


Les cyberattaques contre le secteur pétrolier et gazier peuvent être utilisées comme un outil pour influencer les cotations boursières ainsi que les attaques dans le monde réel, ce qui signifie que les spéculateurs boursiers sans scrupules peuvent utiliser les services de cybercriminels pour gonfler le coût du pétrole et du gaz et obtenir des bénéfices supplémentaires.

L'efficacité de telles attaques peut s'avérer nettement plus élevée que l'utilisation d'autres outils, par exemple, voler des fonds dans les comptes des entreprises en compromettant la correspondance commerciale, car il est presque impossible de prouver la relation entre une cyberattaque et le profit de la vente de contrats à terme à prix élevé.

Compte tenu de ces facteurs, l'organisation de la cybersécurité devient une tâche essentielle pour assurer la stabilité du secteur pétrolier et gazier et du marché mondial des hydrocarbures.

More articles:


All Articles