Want to make creations as awesome as this one?

Exposé.

Transcript

Colonial Pipeline

Slimani Yassine
Caullery Jessy

Master 1 CDSI

1

Plan

1. Présentation Colonial Pipeline

2. Présentation Darkside

3. L'attaque et son déroulement

4. Analyse de risque

5. Plan de traitement

6. Conclusion

2

Colonial Pipeline c'est quoi ?

1

3

Tube long de 5500 miles (+8800km) transportant des hydrocarbures.

Côte Est des Etats-Unis

Détenu par :
- Koch industries (~28%)
- Kohlberg Kravis Roberts & Co. (~23.5%)
- Caisse de dépôt et placement du Québec (16.55%)
- Royal Dutch Shell (16.12%)
- IFM Investors (15.80%)

4

45 % de la consommation

1 : Koch industries

2 : Kohlberg Kravis Roberts & Co.
3 : Caisse de dépôt et placement du Québec
4 : Royal Dutch Shell
5 : IFM Investors

Quelques chiffres

5

DarkSide c'est qui ?

2

6

  • Groupe de hackers
  • Provenant de l'Europe de l'Est (principalement russie)
  • Créateur de ransomware
  • Ne cible pas : hôpital, écoles, organisation à but non lucratif.
  • Cible principalement : USA,France,Belgique,Canada.

DarkSide hacker group

7

Historique des attaques

De décembre 2020 à mai 2021 :
- Attaque d'infrastructure pétrolière et gazière américaine à 4 reprises.
- CompuCom (222 millions de dollars en 2021) coût pour l'entreprise 20 millions de dollars.
- Canadian Discount Car and Truck Rentals (217 millions de dollars en 2019)
- Toshiba Tec Corp (conglomérat japonais, 28 milliards de dollars en 2019)
- Brenntag (distribution de produit chimique, 13 milliards d'euros en 2019)

Mai 2021 :
Colonial Pipeline (
388 millions de dollars en 2021) rançons : 75 bitcoins (environ 5 millions de dollars au moment de l'attaque)
Considéré comme la pire cyber attaque sur des infrastructures critiques américaines.

8

L'attaque et son déroulement

3

9

Un peu de technique.

Leak d'un mot de passe se retrouvant sur le dark web.

Permets la connexion à un VPN --> accès au réseau.

Pas d'authentification multifacteur.

Faille Windows Server ZeroLogon Vulnerability (CVE-2020-1472)

privilege escalation

Rappel :

dark web

VPN

L'attaque a compromis des systèmes qui contrôle l'infrastructure d'un pipeline qui est considérée comme une infrastructure critique. Soit l'attaque est très sophistiquée, soit la sécurité du système était très basse.

10

Timeline de l'attaque.

11

Impact économique et sociale.

Pénurie dans beaucoup de villes. Station service sans carburant.

Déplacement vers les lieux de travail impossible.

Pertes de productivité sur la période.

Explosion des factures pour chauffer les domiciles.

12

+0.6% essences, 1,5MM d'euros
+1.1% gallon d'augmentation
20 106 dollars

Analyse de risque

4

13

Interview :

Elements actifs :

Dans notre cas nous ne pouvons pas effectuer cette étape mais avec les articles sortis sur le sujet ainsi que de nombreuses vidéos nous pouvons émettre des suppositions sur les éléments actifs.

- Réseau informatique
- VPN
- Serveur de sauvegarde
- Ordinateurs gestionnaires du pipeline
- Système de facturation
- Serveur de l’application

14

Disponibilité, Intégrité, Confidentialité, Traçabilité :

15

Scénario :

Vol de mot de passe VPN.
Accès au réseau informatique de l'entreprise pour le hacker.
Déploiement d'un ransomware.

Intrusion sur le système d’information.
Accès ordinateur gestionnaires pipeline.
Modification ou arrêt du pipeline.
Déploiement d'un ransomware, fichier chiffré.

Risque :

16

Solutions :

Politique de mot de passe plus forte exemples :
+10 caractères par mot de passe.
1 caractère spécial minimum.
1 chiffre minimum.
Changement de mot de passe tous les 1-2 mois.
Ne pas écrire son mot de passe sur un post it.
Ne pas stocker son mot de passe sur un mobile ou bloc note.

Mise à jour de la base de données utilisateurs. Puisque d'après des rapports de l'attaque le compte VPN en question n'était pas utilisé depuis longtemps.

Authentification multifactorielle.

17

Plan de traitement

5

18

1

2

3

Technologie Zero trust

Sauvegardes des données

Authentification forte

4

5

6

Gardez tout crypté

Sensibilisation

Mise a jour

19

Conclusion

6

20

Un sois disant démantèlement du groupe DarkSide suite à la pression du FBI.

D'après l'ANSSI entre 2019 et 2020 il y a eu une augmentation de 255% concernant les ransomware.

Les vecteurs d'attaques se multiplient avec le temps, crise sanitaire = usage de VPN
Phishing de plus en plus sophistiqué.
Explosion du numérique donc des techniques liée à celui-ci.

Les très grandes entreprises ne sont pas à l'abri des attaques justement cela peut être un choix pour les groupes de hackers.

Faire très attention aux ransomware puisque cela n'impact pas uniquement votre système d'information mais l'entièreté de votre entreprise.

21

Any questions ?

22