L’un des plus grands aéroports au monde utilise un réseau isolé pour gérer ses opérations internes, de la sécurité à la logistique. Malgré la configuration isolée de l'aéroport, plusieurs appareils ont été infectés par un logiciel malveillant capable de capturer et stocker des données au niveau local.
Les défis en matière de sécurité
- Infrastructure critique sans tolérance pour les temps d'immobilisation
- Manque de mesures de sécurité au sein du réseau
- Réseau isolé connectant entre eux des dispositifs à niveau de sécurité faible et élevé
- Aucune visibilité sur les appareils situés dans l’air gap
Ce grand aéroport international, l'une des plus grandes plateformes de transport au monde, accueille chaque année 70 millions de passagers avec plus de 1 000 vols par jour. Dans l’ensemble, l’aéroport suivait de très bons protocoles de sécurité. Il a mis en place un réseau complètement isolé pour faire fonctionner plusieurs services essentiels et empêcher les infections via Internet. Cependant, ce réseau isolé a créé une fausse impression de sécurité. Même si tous les appareils situés dans l'air gap n'avaient aucun accès à Internet, tous les segments internes du réseau étaient connectés les uns aux autres, sans aucun contrôle du trafic.
Par ailleurs, le réseau isolé intégrait des appareils physiquement accessibles par le public, tels que des bornes d’information, ce qui exposait des services essentiels à une attaque potentielle. De plus, le seul moyen de transférer une information de l'extérieur vers l'intérieur consistait à utiliser des lecteurs USB, une méthode qui laissait les nœuds finaux vulnérables à des logiciels malveillants apportés par des employés de l'aéroport à leur insu.
1 000 vols
L’aéroport facilite plus de 1 000 vols par jour
70 millions
Chaque année, il accueille 70 millions de passagers
La visibilité fournie par QRadar EDR a permis la reconstitution de l'incident depuis le début, ainsi que la résolution sécurisée de l'infection, sans interruption de la continuité des opérations de l'aéroport.
Présentation des solutions :
- L’aéroport a mis en œuvre le logiciel IBM Security QRadar EDR , qui utilise la technologie NanoOS pour une visibilité exceptionnelle sur les terminaux et l’infrastructure.
- Les moteurs d'analyse comportementale QRadar EDR fonctionnent sans dégradation sur les réseaux isolés.
- Grâce à de puissantes capacités de traque des menaces, l’aéroport peut reconstruire et analyser les incidents.
L'aéroport a utilisé le logiciel IBM Security QRadar EDR pour effectuer un contrôle d'hygiène dans le réseau isolé, car certains nœuds finaux semblaient avoir ralenti. Après le déploiement de QRadar EDR sur un premier segment, les moteurs ont détecté des activités potentiellement malveillantes provenant d'un petit nombre d'appareils. L’analyse initiale a identifié une borne accessible au public comme étant le premier point d’entrée. Cependant, une nouvelle analyse a détecté un second point d’entrée, provenant cette fois d’un appareil situé dans la zone d’enregistrement. Ces deux vecteurs malveillants ont réussi à s’étendre à un nombre limité d’appareils touchant différents segments du réseau.
La visibilité fournie par QRadar EDR a permis la reconstitution de l'incident depuis le début, ainsi que la résolution sécurisée de l'infection, sans interruption de la continuité des opérations de l'aéroport.
Analyse des causes premières
Le déploiement initial a détecté plusieurs anomalies comportementales. Une application a installé un enregistreur de frappe en mémoire en l’injectant dans une instance cachée du navigateur par défaut. Puis, un autre thread a réussi à parcourir le disque de fond en comble pour trouver des fichiers Microsoft Word, des fichiers PDF, des cookies et des bases de données de navigateur. Ces informations ont été recueillies dans un fichier caché, qu’on a ensuite tenté d’envoyer à intervalles réguliers vers un serveur de commande et de contrôle (C2). Cette tentative a échoué puisque le réseau est totalement coupé du monde.
Un examen plus approfondi du vecteur d’infection a donné des résultats intéressants : le vecteur était inhabituellement grand et contenait une série de mécanismes visant à contourner non seulement un antivirus local mais également une analyse de bac à sable. Sa taille importante devait probablement servir à essayer d’échapper à un moteur d’émulation d’antivirus car, en général, ce type de système émule un petit segment du fichier binaire complet.
En fin de compte, deux vecteurs différents ont été identifiés : un vecteur installé dans une borne publique et un autre installé sur un appareil qui faisait partie du capteur du réseau de gestion de l'enregistrement. Bien que les vecteurs aient semblé différents (principalement en raison de la vaste quantité d’instructions factices utilisée pour éviter la détection), le logiciel semblait être le même. Dans les deux cas, ils essayaient de contacter le même serveur C2 et se comportaient de façon identique.
Reconstruction de l'attaque
Lorsque QRadar EDR n'est déployé qu'après la violation, toutes les informations ne sont pas disponibles et l'infrastructure native n'utilise qu'une consignation minimale au niveau du système d'exploitation. Malgré la quantité limitée d’informations, une analyse de suivi a montré que l’infection s’était produite cinq mois plus tôt et que les deux nœuds finaux avaient été infectés à quelques jours d’intervalle à partir de deux lecteurs USB. D’autres points de terminaison ont été infectés par l’un de ces vecteurs, principalement en raison de mots de passe faibles que le logiciel malveillant a essayés sur tous les appareils auxquels il a pu se connecter, à une fréquence aléatoire. Le logiciel malveillant est parvenu à recueillir des informations en continu et ne semblait pas appliquer de contrôle en matière de rétention ni de limite à son propre stockage. Une connexion au C2 a été tentée toutes les huit heures, mais n’a jamais réussi en raison de l’air gap.
L'analyse finale a montré que, même si le logiciel malveillant disposait de capacités d'auto-réplication et pouvait copier automatiquement son stockage sur un lecteur USB externe, cette fonctionnalité n'était pas activée. Vraisemblablement, l'exfiltration était supposée être lancée manuellement.
Réponse et résolution
L’aéroport a utilisé le module de correction de QRadar EDR pour nettoyer les appareils infectés et effacer les dossiers de stockage identifiés afin d’éviter toute fuite de données. L'interface de traque des menaces de la solution s'est avérée essentielle pour confirmer l'absence du même vecteur sur l'ensemble de l'infrastructure, à l'exception des appareils infectés déjà identifiés. L'aéroport a également effectué une recherche comportementale pour s'assurer qu'aucune instance du logiciel malveillant ne s'exécutait sans être détectée sur d'autres appareils. Il a recherché tous les comportements identifiés, les menaces persistantes et les méthodes de collecte de données, jusqu'à ce qu'il puisse confirmer l'absence de ce vecteur et de ses variantes dans l'infrastructure.
Enfin, l’équipe de sécurité locale a établi un ensemble de règles plus strictes pour le contrôle du trafic interne. La partie publique du réseau a été isolée des opérations, et l'équipe de sécurité locale a commencé à mener une surveillance continue des nœuds finaux, ainsi que des campagnes régulières de traque des menaces.
L’aéroport a utilisé le module de correction de QRadar EDR pour nettoyer les appareils infectés et éviter les fuites de données. L'interface de traque des menaces de la solution a permis de confirmer l'absence du vecteur dans l'ensemble de l'infrastructure.
Un air gap peut fournir un niveau de sécurité robuste. Toutefois, s’il n’est pas mis en œuvre avec rigueur, il peut créer une fausse impression de sécurité. Bien que les motivations de l'attaque restent incertaines, les données recueillies n'ayant jamais été filtrées, il est certain que les agresseurs informatiques avaient une porte ouverte sur l'infrastructure, pas seulement pour exfiltrer des informations, mais aussi pour porter activement atteinte aux opérations de l'aéroport. Un simple ransomware lancé à l'encontre de la zone d'enregistrement aurait engendré des retards inévitables. La même attaque lancée sur la zone de sécurité aurait entraîné un arrêt immédiat des vols, avec de graves répercussions.
Aspects juridiques
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux Etats-Unis, juin 2023
IBM, le logo IBM, ibm.com et IBM QRadar sont des marques commerciales d'International Business Machines Corp., déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur la page Web « Copyright and trademark information » à l’adresse suivante : ibm.com/trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L'ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET TOUTE GARANTIE OU CONDITION D'ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.