Les organisations pétrolières et gazières ont été ciblées en rcampagnes de chasse sous-marine récentes utilisant le cheval de Troie du logiciel espion « Agent Tesla », dit la firme de sécurité Bitdefender.

Au cours d’une campagne, les attaquants ont usurpé l’identité de la société pétrolière d’État égyptienne Enppi (Engineering for Petroleum and Process Industries) pour viser des organisations en Malaisie, aux États-Unis, en Iran, en Afrique du Sud, à Oman et en Turquie, entre autres.

Au cours de la deuxième campagne, l’adversaire a prétendu être une société de transport et a exploité des informations légitimes sur un pétrolier chimique / pétrolier pour cibler les victimes aux Philippines. L’utilisation de jargon de l’industrie a été spécifique à cette attaque, ce qui a rendu le courrier électronique authentique.

Dans le cadre de la première campagne, les assaillants ont imité Enppi pour demander des offres d’équipement et de matériel, dans le cadre du projet Rosetta Sharing Facilities, au nom de la compagnie de gaz Burullus. Les e-mails transportés sous forme d’archives de pièces jointes destinées à déposer l’agent Tesla sur les machines des victimes.

Le malware a été conçu pour collecter les informations d’identification et diverses informations sensibles et renvoyer toutes les données à un serveur de commande et de contrôle (C&C) sur smtp[:]//smtp.yandex.com:587.

Bitdefender a déclaré avoir observé un pic d’attaques le 31 mars, mais le nombre quotidien d’incidents habituels reste inférieur à cinq. La Malaisie, la région MENA et les États-Unis ont été les plus touchés par cette campagne.

La deuxième campagne semble avoir commencé le ou vers le 12 avril, en tentant de livrer l’agent Tesla à des sociétés de transport maritime aux Philippines.

Les attaques ont usurpé l’identité d’un pétrolier / chimiste, informant le destinataire qu’il doit envoyer le compte de déboursement estimatif du port (EPDA) pour le navire d’expédition, ainsi que des informations sur la gestion du flux des conteneurs (référencé comme «cfm» dans l’e-mail).

Les attaques visant l’industrie pétrolière et gazière, note Bitdefender, ont augmenté en fréquence depuis octobre 2019, avec un pic en février 2020.

En savoir plus sur les menaces pesant sur les systèmes industriels lors de la conférence ICS Cyber ​​Security 2020 de SecurityWeek et de la série d’événements virtuels Security Summits SecurityWeek

« Avec plus de 5 000 signalements malveillants d’entreprises opérant dans le secteur de l’énergie, les cybercriminels semblent s’intéresser vivement à cette verticale, peut-être car elle est devenue plus importante et stratégique après les récentes fluctuations des prix du pétrole », a déclaré la société de sécurité.

Ce que Bitdefender n’a pas pu fournir pour ces attaques, cependant, était l’attribution à un acteur de menace spécifique. Répondre à un SecurityWeek Enquête, Liviu Arsene, chercheuse mondiale en cybersécurité chez Bitdefender, a souligné que l’attribution est assez difficile, malgré la survenue d’attaques similaires dans le passé.

«Dans cette récente campagne, l’attribution est d’autant plus difficile que c’est la première fois que nous voyons le spyware Agent Tesla associé à une campagne sur le secteur de l’énergie, et que l’infostealer lui-même n’est pas quelque chose de très sophistiqué, mais quelque chose qui peut être acheté sur les forums clandestins et utilisé par quiconque dans diverses autres campagnes », a déclaré Arsene.

«Cela fait partie d’une menace croissante contre les organisations industrielles, y compris les sociétés pétrolières et gazières, qui dépendent fortement de l’accès à distance pour maintenir leurs opérations. Cette dépendance est encore plus prononcée à l’ère de COVID-19. Les hackers motivés financièrement prennent note et s’engagent dans des campagnes de ciblage ciblées pour compromettre les comptes de ceux qui ont un accès privilégié à des fins de vol de données ou d’extorsion d’opérations avec des ransomwares », a déclaré Dave Weinstein, CSO chez Claroty, dans un commentaire par courrier électronique.

en relation: Les sociétés pétrolières et gazières en amont ont augmenté leurs dépenses en cybersécurité en 201

en relation: SWEED Hackers cible la fabrication et les organisations logistiques

en relation: Le secteur du pétrole et du gaz au Moyen-Orient touché par de graves incidents de sécurité

Mots clés:

Voir la source de cette publication