Cybersécurité gouvernementale : Un malware déjoue les systèmes air-gap européens

Guide des administrateurs informatiques | November 27, 2024 | 5 min read

Un malware déjoue les systèmes air-gap européens

En octobre 2024, plusieurs systèmes gouvernementaux européens, considérés comme hautement sécurisés grâce à leur air gap ont été infiltrés par un malware sophistiqué Cet incident souligne les capacités croissantes des cyberattaquants et la vulnérabilité même des réseaux les plus protégés. Ce piratage nous rappelle qu’aucun système, aussi isolé et sécurisé soit-il, n’est à l’abri dans le paysage numérique actuel.

Chronologie de l’attaque 

Le 3 octobre 2024, des activités réseau inhabituelles ont été détectées dans des systèmes air gap, c’est-à-dire déconnectés d’Internet pour empêcher les attaques à distance. Ces systèmes sont couramment utilisés par les gouvernements et les infrastructures critiques pour protéger des données sensibles.

Cependant, dès le 5 octobre, les équipes de cybersécurité ont identifié un malware sur mesure conçu pour contourner la barrière de l’air gap. Le malware, introduit via une clé USB infectée ou du matériel compromis, avait pu rester indétecté pendant plusieurs semaines, exfiltrant discrètement des données sensibles. La sophistication de cette attaque a pris de court les experts en cybersécurité, démontrant l’ingéniosité des acteurs malveillants modernes.

Nouvel ensemble d'outils utilisés dans les attaques en Europe

 Nouvel ensemble d’outils utilisés dans les attaques en Europe (Source : BleeepingComputer ) 

Le 8 octobre 2024, l’ampleur de la violation a été entièrement révélée. Les analyses ont montré que des données sensibles, y compris des informations classifiées, avaient été compromises. La nature exacte des informations dérobées reste confidentielle, mais les répercussions sur la sécurité nationale sont indéniables.

Le déroulement de l’attaque 

Les cybercriminels ont utilisé un malware personnalisé capable d’exfiltrer des données des systèmes air-gap en exploitant des composants internes et du matériel compromis. Une fois infiltré, le malware ciblait des fichiers spécifiques et établissait un canal de communication via des périphériques physiques comme les clés USB, ou même via des émissions électromagnétiques. Cette attaque furtive échappait aux solutions antivirus traditionnelles, exploitant la capacité du malware à opérer dans un environnement isolé.

  L’attaque par GoldenDealer 

Aperçu des attaques de GoldenJackal

 Aperçu des attaques de GoldenJackal (Source : BleepingComputer ) 

Les attaques récentes ont montré que les cybercriminels utilisent une approche en plusieurs étapes. Les attaquants commencent par infecter des systèmes connectés à Internet, souvent à l’aide de logiciels malveillants comme GoldenDealer, qui s’immisce via des logiciels piégés ou des documents malveillants. GoldenDealer surveille l’insertion de clés USB sur ces systèmes. Lorsque cela se produit, il copie automatiquement son code malveillant et d’autres composants sur la clé.

Lorsque cette clé USB infectée est insérée dans un ordinateur air-gapped, GoldenDealer installe des malwares supplémentaires tels que GoldenHowl, une porte dérobée, et GoldenRobo, un logiciel de vol de fichiers. GoldenRobo explore le système à la recherche de documents, d’images, de certificats, de clés de chiffrement, et d’autres informations précieuses, les stockant dans un répertoire caché sur la clé USB.

Une fois que la clé USB est retirée de l’ordinateur air-gapped et reconnectée à un système connecté à Internet, GoldenDealer envoie automatiquement les données volées à un serveur de commande et de contrôle (C2) contrôlé par les attaquants.

Le rôle du malware sur mesure 

Cette attaque illustre l’utilisation croissante de malwares sur mesure dans les cyberattaques ciblées. Contrairement aux malwares de masse, qui exploitent des vulnérabilités connues, les malwares personnalisés sont développés spécifiquement pour un objectif précis. Dans ce cas, le malware a été conçu pour fonctionner dans des systèmes air-gap, ce qui démontre une connaissance approfondie de l’architecture du réseau et des mesures de sécurité en place.

Les malwares sur mesure représentent un danger croissant, notamment parce qu’ils échappent souvent aux outils de sécurité traditionnels. Ces attaques ciblées, souvent menées par des groupes parrainés par des États, obligent les équipes de cybersécurité à repenser leurs stratégies de défense, car les protections classiques ne sont plus suffisantes.

Les vulnérabilités des systèmes air-gapped 

Pendant des années, les systèmes air-gap ont été considérés comme l’une des méthodes les plus sécurisées pour protéger les infrastructures critiques et les données sensibles. Cependant, cette attaque démontre que l’air gap, bien qu’essentiel, n’est pas infaillible. Les attaquants peuvent exploiter des points d’accès physiques, du matériel compromis, voire des signaux électromagnétiques pour s’introduire dans ces environnements isolés.

Cet incident montre que même les systèmes air-gapped nécessitent des stratégies de sécurité à plusieurs niveaux. Les organisations doivent adopter une approche proactive en matière de cybersécurité, en combinant des défenses traditionnelles à des technologies capables de détecter les anomalies et d’empêcher les malwares de s’installer.

Leçons pour l’avenir : renforcer la cybersécurité 

La compromission des systèmes gouvernementaux européens par un malware sur mesure est un signal d’alarme pour l’évolution des menaces cybernétiques. Les gouvernements et les entreprises doivent prendre les mesures suivantes pour renforcer leurs défenses :

  • Renforcement de la sécurité physique : L’accès physique aux systèmes critiques, y compris les ports USB et le matériel externe, doit être strictement contrôlé et surveillé. Des audits réguliers des protocoles de sécurité physique sont essentiels.

  • Détection avancée des menaces : Il est crucial d’investir dans des solutions antivirus et des outils de détection des points de terminaison de nouvelle génération capables d’identifier et de répondre aux malwares sur mesure.

  • Audits et tests réguliers : Des audits de sécurité réguliers et des tests d’intrusion sur les systèmes air-gapped sont nécessaires pour identifier les vulnérabilités. Tester les menaces basées sur le matériel et les signaux électromagnétiques est également indispensable.

  • Chiffrement et surveillance des données : Les données sensibles doivent toujours être chiffrées, même dans des environnements air-gapped. De plus, l’activité réseau, y compris l’utilisation des appareils physiques, doit être surveillée en continu.

  • Sensibilisation et formation : L’erreur humaine étant souvent le maillon faible de la cybersécurité, il est essentiel de former régulièrement le personnel aux bonnes pratiques en matière de sécurité, notamment l’interdiction d’utiliser des périphériques externes non autorisés.

Conclusion 

La compromission des systèmes gouvernementaux européens à l’aide d’un malware sur mesure souligne la sophistication croissante des cyberattaques. Même les systèmes les plus sécurisés, tels que les réseaux air-gap, peuvent être compromis sans des mesures de cybersécurité proactives et continuellement mises à jour. Alors que la technologie évolue, nos approches en matière de sécurité doivent également progresser. La vigilance, la détection avancée et une stratégie de défense à plusieurs niveaux sont essentielles pour protéger les infrastructures critiques à l’ère numérique.

Cet incident n’est pas seulement une alerte pour les entités gouvernementales, mais également pour les entreprises et organisations à travers le monde. À une époque où les malwares sur mesure peuvent percer même les défenses les plus solides, une stratégie de cybersécurité robuste et adaptable n’est plus une option, c’est une nécessité.

Tags : Air Gap / Cybersécurité / gouvernements européens / malware
Monideepa Mrinal Roy
Content Writer