RATS, bots et hameçonnage par proxy inverse : pourquoi les cybercriminels s'en prennent au secteur du transport maritime

Beaucoup considèrent le cyber-risque comme une réalité incontournable, mais pendant longtemps, l’isolement relatif du secteur maritime face aux menaces a constitué son principal atout. En raison de faibles volumes de trafic et d’une bande passante réduite, le transport maritime représentait une cible mobile de valeur relativement faible.

L'avènement des services LEO à haut débit et à faible latence, parallèlement à la connectivité VSAT et 4/5G, a propulsé le transport maritime au cœur de la numérisation. Le niveau de menace s'est accru en conséquence, tout comme le besoin d'une réglementation permettant de gérer ces risques.

Jusqu'à présent, ces règles constituaient un ensemble disparate, mais elles s'harmonisent de plus en plus à mesure que les directives légales, les systèmes volontaires et les normes industrielles sont complétés par une réglementation de l'Union européenne qui prévoit des amendes punitives en cas de non-conformité.

L'intervention des régulateurs arrive à point nommé, car les menaces émanant des cybercriminels ne cessent de croître, tant en volume qu'en sophistication.

Le dernier rapport mondial sur les cybermenaces maritimes publié par le Centre des opérations de sécurité (SOC) de Marlink met en évidence l'évolution des tactiques des cybercriminels, qui tentent de plus en plus de contourner des contrôles de sécurité auparavant efficaces à l'aide de nouveaux outils.

Le SOC maritime unique de Marlink a surveillé activement plus de 1 800 navires au cours du premier semestre 2024 et les données montrent que les activités malveillantes au cours de cette période ont considérablement augmenté par rapport à l'année précédente.

Les analystes ont observé une hausse continue des menaces courantes telles que les attaques de type « Command and Control » (C&C), ainsi que l'évolution des attaques par botnet, dont le nombre et la complexité ne cessent de croître.

Le phishing reste la principale tactique utilisée par les attaquants pour accéder aux réseaux d'entreprise, bien que le SOC ait également détecté une augmentation du trafic malveillant figurant sur liste noire. Cela souligne l'importance de maintenir à jour les flux de renseignements sur les menaces et d'appliquer des politiques de sécurité strictes pour empêcher les connexions non autorisées à des sites à haut risque.

Une meilleure visibilité sur les événements grâce aux solutions de protection des terminaux (EDR), aux pare-feu et à la sécurité des e-mails, associée au contexte fourni par les capacités de renseignement, a permis aux analystes du SOC d'acquérir une compréhension plus approfondie du paysage des menaces en constante évolution.

Les acteurs malveillants font évoluer leurs schémas d'attaque et lancent des campagnes frauduleuses qui contournent les contrôles de sécurité auparavant efficaces, tels que l'authentification à deux facteurs, obligeant les défenseurs à réagir et à renforcer le niveau de sécurité pour garantir la protection des opérations.

Au cours du premier semestre 2024, une part importante des menaces neutralisées par le SOC a continué de suivre le vecteur d'attaque le plus courant observé depuis 2022 : le phishing. Cependant, au cours de cette période, on a constaté une augmentation notable d'une forme plus avancée connue sous le nom de « phishing par proxy inverse ».

Le phishing est une méthode classique de cyberattaque dans laquelle les attaquants se font passer pour des entités légitimes (telles que des banques ou des prestataires de services) afin d’inciter les utilisateurs à fournir des informations sensibles, telles que des identifiants de connexion ou des données financières. Le phishing traditionnel repose souvent sur de faux sites web ou des e-mails frauduleux pour capturer les données des utilisateurs.

Le « phishing par proxy inverse », en revanche, est une version plus sophistiquée. Au lieu de se contenter de créer un faux site web, l’attaquant met en place un « proxy » qui se place entre le site web légitime et la victime. Ce proxy capture les identifiants de l’utilisateur et, en temps réel, les transmet au site réel, donnant ainsi à la victime l’impression que tout est normal. Le danger de cette méthode réside dans le fait qu’elle peut contourner l’authentification multifactorielle (MFA), couramment utilisée pour protéger les systèmes sensibles.

Le phishing par proxy inverse ouvre la porte à de graves menaces de cybersécurité telles que les systèmes C&C, les botnets et les chevaux de Troie d’accès à distance (RAT). Une fois que les attaquants ont accédé à un réseau, ils peuvent déployer une infrastructure C&C pour contrôler à distance les systèmes compromis. Cela pourrait permettre la création de botnets — de vastes réseaux d’appareils infectés utilisés pour des activités malveillantes telles que les attaques par déni de service distribué (DDoS).

Les données du SOC de Marlink suggèrent une sophistication croissante des cybermenaces ciblant les opérations des navires, repoussant les limites des mesures de sécurité existantes et exigeant une approche proactive de la part des entreprises maritimes.

Pour le secteur maritime, ces attaques peuvent avoir un impact significatif sur les opérations, allant de la perturbation de la logistique maritime à la manipulation de systèmes de communication sensibles. Retards, perte de réputation et remises en état coûteuses ne sont que quelques-unes des conséquences possibles.

En réponse, le SOC de Marlink cherche à renforcer ses capacités de surveillance en recourant davantage à la détection des menaces en temps réel, à l'analyse comportementale basée sur l'IA, au renseignement sur les menaces et à des solutions d'authentification multifactorielle (MFA) plus robustes.

L'évolution du paysage des menaces au cours des six premiers mois de 2024 n'a cessé de surprendre. Il est clair que même les exploitants de navires qui ont déjà pris des mesures contre les cybermenaces doivent considérer cela comme un processus continu. En mettant l'accent sur la combinaison des personnes, des procédures et des précautions, ces entreprises peuvent mieux se protéger et protéger leurs parties prenantes, garantissant ainsi des opérations plus sûres et plus résilientes.