Depuis des années, l'air gap est recommandé en tant que pratique de cybersécurité standard pour protéger les systèmes et réseaux sensibles. Souvent, les organisations isolent leurs systèmes critiques en les déconnectant d'Internet ou d'autres réseaux pour protéger les données sensibles et les sauvegardes contre les cybercriminels. Cependant, cette technique ne s'avère pas être une balle magique comme elle l'était autrefois.
Pourquoi cette inquiétude croissante ?
Le mois dernier, trois rapports ont montré un intérêt accru des groupes de piratage vers le développement de logiciels malveillants capables d'infiltrer les réseaux air gap. Découvrons-le!
- Le groupe de piratage chinois, Tropic Trooper, également connu sous le nom de KeyBoy, ciblait les réseaux de Taiwan et l'armée philippine. Selon Trend Micro, une société de cybersécurité et de défense, les attaques ont englobé l'utilisation de USBferry, une souche de malware avec une fonctionnalité qui permet l'auto-réplication sur des périphériques USB amovibles.
- Des chercheurs d'ESET, la firme de cybersécurité, ont découvert un malware appelé Ramsay qui est capable de sauter le vide pour collecter des fichiers Word, ZIP et PDF dans un conteneur de stockage caché. Une fois que le logiciel malveillant entre dans un appareil à espace restreint, il peut se propager à tout autre appareil qu'il peut trouver.
- Les chercheurs en sécurité de Kaspersky ont identifié une nouvelle version du malware COMpfun utilisé par Turla, un acteur de la menace russe parrainé par l'État. Le nouveau malware contient un mécanisme d'auto-propagation pour infecter d'autres systèmes sur des réseaux internes ou à espace restreint.
- Après trois attaques consécutives sur des réseaux à espace restreint en une semaine en mai, Kaspersky a révélé un nouveau malware appelé USBCulprit au cours de la première semaine de juin. Utilisé par un groupe de piratage connu sous le nom de Cycldek, Goblin Panda ou Conimes, le logiciel malveillant est conçu pour compromettre les appareils à distance via USB pour voler des informations gouvernementales.
Les systèmes isolés ne sont pas uniquement destinés aux organismes gouvernementaux
- En règle générale, les systèmes à entrefer sont utilisés pour protéger les données sensibles des organisations gouvernementales ou des agences de renseignement. Cependant, même les centres de données qui n'appartiennent pas à des institutions critiques peuvent avoir des réseaux restreints.
- À partir de sauvegardes isolées, de bonnes copies peuvent être restaurées en cas d'attaques de rançongiciels. Mais une sauvegarde ne peut être utile que si elle est mise à jour et est facilement récupérable. Si elles ne sont pas mises à jour à intervalles réguliers, les sauvegardes deviennent des cibles attrayantes pour les escrocs.
- Étant donné que les victimes paient généralement une rançon si leurs sauvegardes sont compromises, les pirates investissent énormément de temps et d'efforts dans la conception de logiciels malveillants capables de combler les lacunes.
Comment se défendre contre les attaques
La plupart de ces cyberattaques réussissent en raison d'erreurs humaines, notamment le manque de correctifs, le renforcement du système, l'utilisation de l'informatique fantôme et des mots de passe faibles. Dans de telles attaques, la seule prise de précautions standard peut ne pas suffire. Les entreprises doivent adopter des mesures de sécurité robustes telles que la limitation de la connectivité réseau, l'utilisation du Web et la régulation de l'activité des terminaux. Ils doivent également maintenir toute l'hygiène de base de la cybersécurité sur les systèmes à air-gap.
