Les cyberattaques contre les installations pétrolières européennes se propagent

Une série de cyberattaques visant des terminaux de distribution de pétrole et d’autres installations en Europe a mis les autorités en état d’alerte, compte tenu de la hausse des prix du carburant et de la menace de perturbation de l’approvisionnement si la crise politique en Ukraine dégénère en conflit.

Le premier incident à être révélé a eu lieu dans deux compagnies pétrolières allemandes, OilTanking et Mabanaft, qui opèrent sous la même société mère basée à Hambourg, Marquard & Bahls, spécialiste de la logistique. Cette attaque en cours, qui, a-t-il émergé, est très probablement l’œuvre du groupe de ransomware BlackCat, a eu un faible impact sur les approvisionnements en carburant de détail en Allemagne.

Il apparaît maintenant qu’une série d’autres attaques ont également lieu, frappant des terminaux pétroliers appartenant à diverses organisations opérant dans les ports d’Anvers et de Gand en Belgique, ainsi qu’à Amsterdam et Terneuzen aux Pays-Bas. Ces installations sont exploitées par les organisations de logistique et d’expédition SEA-tank – qui fait partie du plus grand groupe SEA-invest – et Evos, à qui OilTanking a vendu un certain nombre d’installations l’année dernière, ainsi que OilTanking lui-même.

Les incidents affectent principalement le chargement et le déchargement des marchandises dans les installations touchées, et on peut s’attendre à ce que si les opérations normales ne reprennent pas bientôt, ces impacts se propagent au secteur du transport maritime et de la logistique.

Il est entendu que les autorités belges et le Centre national néerlandais de cybersécurité enquêtent sur les incidents et sont soutenus par Europol. Un porte-parole du NCSC néerlandais a déclaré à Computer Weekly qu’il ne pensait pas que les attaques étaient coordonnées, mais qu’il continuait à surveiller la situation. Europol n’a pas commenté davantage, mais pour confirmer son implication.

Dominic Trott, chef de produit au Royaume-Uni chez Orange Cyberdefense, a commenté : « Infrastructures nationales critiques [CNI] devient une cible de plus en plus populaire pour les acteurs malveillants en raison des effets dévastateurs que peuvent avoir les temps d’arrêt et les retards dans ce secteur. Il suffit de regarder en arrière sur la crise du carburant de l’année dernière ou sur l’attaque contre le fournisseur américain Colonial Pipeline pour voir cela en action.

« Dans cette attaque, les impacts se sont déjà propagés bien plus loin que les trois pays où ces entreprises sont basées, la nature connectée des chaînes d’approvisionnement mondiales ayant pour conséquence que les ports en Afrique et à travers l’Europe sont également touchés. »

Bien qu’il soit beaucoup trop tôt dans toute enquête pour nécessairement établir des liens entre cette série d’incidents, un certain nombre de scénarios possibles peuvent se dérouler, dont le plus percutant serait clairement un lien avec la crise ukrainienne. Un conflit armé en Ukraine aurait probablement un impact sur l’approvisionnement en combustibles fossiles de la Russie en Europe et il est certainement possible que cela puisse être une sorte d’opération avancée.

Dennis Hackney, responsable du développement des services de cybersécurité industrielle chez ABS Group, a réitéré qu’à ce stade, les attaques ne peuvent être attribuées à aucun groupe de menaces persistantes avancées (APT) non catégorisé ou connu soutenu par la Russie. « Cependant », a-t-il dit, « ces attaques sont conformes aux tactiques et techniques que la Russie a utilisées dans le passé. Historiquement, lorsque l’agenda russe est compromis, des cyberattaques surgissent, affectant l’approvisionnement en gaz et en pétrole de l’Europe. »

Tout aussi possible, et peut-être plus probable étant donné l’implication possible du groupe de ransomware BlackCat, qui a des liens avec des entreprises comme REvil, est que les incidents sont liés par un logiciel compromis utilisé par toutes les victimes – une attaque classique de la chaîne d’approvisionnement semblable à celle perpétrée par REvil sur Kaseya.

Ce qui est clair, c’est que les organisations appelées CNI, qui comprennent la distribution de carburant, sont uniformément à haut risque. En effet, les recherches menées par Bridewell Consulting suggèrent que 86% des organisations CNI ont détecté des cyberattaques sur leur technologie opérationnelle (OT) ou leurs systèmes de contrôle industriel (ICS) au cours des 12 derniers mois, 93% d’entre elles affirmant qu’au moins une de ces tentatives avait réussi.

De manière inquiétante, la recherche a également suggéré un certain degré de confiance mal placée, avec des majorités claires disant qu’elles étaient confiantes que leurs systèmes OT étaient entièrement protégés. Bridewell a déclaré qu’il y avait des preuves de dépendance à l’égard d’infrastructures héritées vieillissantes et d’une trop grande confiance accordée aux fournisseurs.

« Les vulnérabilités de sécurité, bien qu’il soit difficile de remédier au sein de certaines organisations CNI, pourraient avoir de graves implications, non seulement en termes d’amendes substantielles, mais aussi de risques pour la sécurité publique et même de pertes en vies humaines, de sorte que les organisations ne peuvent tout simplement pas se permettre d’être complaisantes », a déclaré Scott Nicholson, co-PDG de Bridewell.

« Une législation comme la directive NIS et la réglementation NIS a certainement contribué à améliorer la cybersécurité dans le secteur, mais il y a encore room pour l’amélioration. »

Cet article a été mis à jour à 15h24 le vendredi 4 janvier pour corriger une citation mal attribuée à Dennis Hackney du groupe ABS et pour ajouter des informations supplémentaires d’Europol et du NCSC néerlandais.