Oslo, Norvège. Le téléphone a sonné à 4 heures du matin. Thorstein Gimnes Répond à la cloche de l'aube avec une peur qui perce la somnolence. Et après les premiers mots de l'interlocuteur, la peur n'a fait que s'intensifier.
"Il semble qu'ils nous attaquent", a déclaré
Norsk Hydro , spécialiste informatique de l'appelant, l'une des plus grandes sociétés d'aluminium au monde. Certaines de ses 170 usines ont arrêté les chaînes de production. D'autres objets sont passés du contrôle informatique au manuel.
Dans la salle de contrôle d'une usine d'extrusion en Norvège. Hydro a temporairement suspendu la production de plusieurs usines en Europe et aux États-Unis après l'attaque.
Mauvaise nouvelle. Et puis ça a empiré.
Le piratage du système de sécurité en mars de l'année dernière a finalement touché tout le monde chez Norsk Hydro: 35 000 employés dans 40 pays. Les fichiers sur des milliers de serveurs et d'ordinateurs personnels se sont avérés être verrouillés. Les dommages financiers ont approché 71 millions de dollars
Tout a commencé trois mois plus tôt, lorsqu'un des employés a ouvert un e-mail infecté provenant d'un client de confiance. Cela a permis aux pirates de pénétrer dans l'infrastructure informatique et d'introduire secrètement leur virus.
Raccrochant, Guimnés Are, qui est en charge de la sécurité de l'information à Norsk Hydro, a immédiatement appelé le chef du service de préparation aux urgences et a appelé le matin même.
«C'était une urgence à l'échelle de l'entreprise», se souvient Guimnes Are. - Les professionnels de l'informatique ont déjà déconnecté le réseau et les serveurs pour éviter une distribution ultérieure. Mais nous ne comprenions pas très bien ce qui se passait. "
Bientôt, le nom du virus est devenu connu: LockerGoga, l'une des variantes du programme de rançongiciel. Il a chiffré des fichiers sur des ordinateurs de bureau, des ordinateurs portables et des serveurs dans toute l'entreprise et a affiché un message de demande de rançon.
«Bienvenue! - lisez le message. - Vos fichiers sont cryptés à l'aide des algorithmes militaires les plus puissants. Seul nous avons un décodeur pour décrypter vos données. »
Dans le message, la société a demandé une rançon en bitcoins et a averti: "Le prix final dépend de la rapidité avec laquelle vous nous contactez."
Lors d'une réunion d'urgence, la direction de Norsk Hydro a pris trois décisions opérationnelles: ne pas payer la rançon, appeler l'équipe de cybersécurité de Microsoft pour aider à restaurer les systèmes et être complètement ouvert sur cet incident.
La troisième de ces solutions a
été saluée par des experts en sécurité du monde entier car elle allait à l'encontre de la pratique habituelle de nombreuses organisations qui cachent des informations de piratage.
Des hauts fonctionnaires ont diffusé des webémissions quotidiennement et répondu aux questions. Les dirigeants ont donné des conférences de presse quotidiennes au siège d'Oslo, publié des nouvelles sur Facebook, invité des journalistes dans les installations de production et même lancé un nouveau site Web de l'entreprise pour la première semaine après la découverte d'une attaque.
Ransomware attaquant Norsk Hydro.
«La transparence est le fondement de la culture Norsk Hydro», a déclaré Halvor Molland, vice-président directeur des relations avec les médias. En publiant honnêtement et rapidement des informations sur ce qui se passe, la société a notamment cherché à violer les tactiques fantômes des cybercriminels et, éventuellement, à prévenir des menaces similaires.
«Nous voulions aider les autres à tirer profit de nos expériences», a déclaré Molland. «Ainsi, les gens pourront mieux se préparer à de telles situations et ne pas vivre ce que nous avons dû vivre.»
Dans les premières heures de l'incident, Norsk Hydro a demandé l'aide de la Microsoft
Detection and Response Team (DART), qui se rend sur les lieux pour soutenir les entreprises attaquées et mène des enquêtes à distance.
«Ce cas a reçu un niveau de gravité maximal», explique Jim Meller, membre de DART et spécialiste des cyberattaques. Meller a été envoyé en Hongrie, dans une petite ville près de Budapest, où se trouve l'une des plus grandes usines d'aluminium de Norsk Hydro. La production y a été laissée sans accès aux services réseau.
L'une des nombreuses conférences de presse d'Hydro tenues pendant l'attaque.
Meller a passé trois semaines en Hongrie, créant une équipe d'ingénieurs et d'architectes régionaux. Selon lui, la tâche initiale de l'équipe consistait à aider l'entreprise à restaurer et à reprendre ses activités et services commerciaux. D'autres membres de la DART se sont envolés pour Oslo. «Sous notre direction, Norsk Hydro a été en mesure d'éliminer l'écart avec lequel l'attaquant a pu lancer une attaque», explique Meller.
Ils ont étudié le virus rançongiciel LockerGoga, qui a également
attaqué la société d' ingénierie et de conseil Altran Technologies en France et deux sociétés industrielles américaines - Hexion en Ohio et Momentive à New York.
Selon Gimnes Are, à Oslo, un groupe d'enquêteurs judiciaires à temps plein et indépendants a découvert qu'en décembre 2018, des pirates informatiques ont utilisé un fichier joint comme cyber-arme envoyée par un employé d'un client qui était considéré comme fiable par un employé de Norsk Hydro lors d'une correspondance électronique régulière.
"Ils ont inclus des instructions pour installer le cheval de Troie sur l'ordinateur de l'employé d'Hydro dans cette pièce jointe", a déclaré Guimnes Are. - Notre antivirus a détecté ce programme de cheval de Troie quelques jours plus tard. Mais il était déjà trop tard. À ce moment-là, le virus était déjà ancré dans le système. »
Meller a déclaré qu'au début, le virus a compromis les utilisateurs ordinaires du réseau informatique de Norsk Hydro, puis a saisi les informations d'identification de l'administrateur, ce qui a permis aux pirates de gérer l'ensemble de l'infrastructure informatique.
"Lorsque les attaquants ont pris le contrôle de l'environnement, ils ont décidé de distribuer le ransomware via une distribution manuelle à partir des contrôleurs de domaine Norsk Hydro", a déclaré Meller.
"C'était un autre exemple d'une stratégie récente où un groupe attaquant utilise une menace persistante constante (
Advanced Persistent Threat, APT) pour introduire un autre malware dans l'espoir d'une monétisation plus rapide à moindre coût", a déclaré Meller.
Cependant, Norsk Hydro n'avait pas l'intention de payer un seul bitcoin aux pirates ou de négocier la récupération des fichiers verrouillés. Au lieu de cela, la société a décidé de récupérer ses données à l'aide de serveurs de sauvegarde fiables.
"Qu'obtiendrez-vous si vous payez une rançon dans une telle situation?" Demanda Gimnes. - Vous retournerez peut-être les données chiffrées si l'attaquant vous donne la clé. Mais le rachat ne vous aidera pas à restaurer l'infrastructure de l'entreprise: tous les serveurs, tous les ordinateurs, tous les réseaux. »
«La rançon ne vous aidera pas à sortir de la situation. Vous devrez reconstruire votre infrastructure afin de vous assurer que l'attaquant n'y est pas resté », a-t-il ajouté.
Eric Derr est directeur général du
Microsoft Security Response Center . Ce centre protège les clients contre les dommages dus aux vulnérabilités des systèmes de sécurité des produits et services Microsoft et reflète également rapidement les attaques sur Microsoft Cloud. Derr encourage fortement les organisations de cyberattaques à être aussi ouvertes que possible concernant les incidents.
"Norsk Hydro a donné l'exemple à tout le monde en répondant aux incidents", a déclaré Derr. - Ne pas payer la rançon et utiliser DART pour comprendre la situation afin d'expulser les intrus est une excellente solution. Le partage des connaissances acquises avec le monde est inestimable. Lorsque les entreprises font cela, cela nous rend tous meilleurs et rend les attaquants plus durs. »
«Bien sûr, certaines entreprises confrontées à des attaques de ransomwares peuvent être tentées de payer des attaquants pour retourner les données volées. Mais payer une rançon aux pirates informatiques ne garantit pas que l'entreprise sera en mesure de récupérer les perdus », a déclaré Ann Johnson, vice-présidente des solutions de cybersécurité de Microsoft, dont l'équipe supervise DART.
«Il existe un moyen plus intelligent: suivez le plan de Norsk Hydro», explique Johnson. - Vos données sont un atout stratégique à la fois pour vous et pour les cybercriminels. C'est pourquoi les pirates informatiques veulent récupérer vos données. C'est pourquoi vos données doivent être protégées et stockées en tant que sauvegardes. »
«Dans le même temps, les entreprises devraient investir dans la cybersécurité», souligne-t-elle.
«Chez Norsk Hydro, le service informatique s'efforce de sensibiliser ses employés à la sécurité», a déclaré Molland, vice-président des relations avec les médias. Cela inclut l'envoi d'e-mails de test aux travailleurs pour les aider à reconnaître
les astuces de phishing courantes , telles que les fausses pages de connexion et les pièces jointes malveillantes.
"Si une entreprise n'accorde pas suffisamment d'attention à la cybersécurité", prévient Johnson, "alors les attaquants deviendront ses" clients réguliers ".
"Très probablement, vous avez vu des pancartes dans les cafés de la rue qui disent" Ne nourrissez pas les oiseaux. " Si les oiseaux sont nourris, ils retourneront là où ils ont trouvé facile de se nourrir. Le même concept s'applique aux cybercriminels, explique Johnson. «S'ils savent que votre protection est faible, ils utiliseront ces faiblesses encore et encore.»
«La meilleure défense est la bonne combinaison d'actions humaines, de processus et de technologies. Nous recommandons d'implémenter l'authentification multifacteur, un processus de mise à jour robuste et une sauvegarde des données », a-t-elle ajouté.
Les employés de l'usine de Norsk Hydro en Norvège travaillent avec des dossiers papier pour exécuter manuellement les commandes des clients lors d'une cyberattaque.
En mars dernier, en Hongrie et en Norvège, les membres de DART ont aidé Norsk Hydro à développer des procédures sécurisées pour récupérer des serveurs avec des paramètres de sécurité améliorés. Selon Meller, ils ont également familiarisé l'entreprise avec les menaces existantes et le comportement connu des attaquants pour aider à réduire le risque de futures attaques.
À Norsk Hydro, les travaux internes après l'incident ont été menés sur plusieurs fronts. La société est passée à d'anciennes méthodes afin de reprendre sa production à part entière et de reprendre ses activités commerciales. De plus, ils ont travaillé pour assurer la sécurité des employés et l'environnement.
«Nous conduisons des équipements lourds. Si nous en perdons le contrôle, cela mettra en danger la sécurité des personnes et pourrait entraîner de graves incidents », a déclaré Molland, vice-président des relations avec les médias. - La sécurité est toujours la chose la plus importante pour nous. En deuxième place, nous nous préoccupons de l'environnement et de la prévention des émissions incontrôlées dans l'atmosphère, le sol et l'eau dues aux arrêts brusques de la machine. »
Les dirigeants ont écrit à la main des avertissements d'une cyberattaque, photographiés sur des smartphones et les ont envoyés aux directeurs des usines et des bureaux de Norsk Hydro dans le monde entier. Le personnel sur le terrain a imprimé des publicités sur papier dans les imprimeries locales et les a accrochées sur des porches, des escaliers et des ascenseurs afin que le personnel puisse les lire à leur arrivée au travail.
«Veuillez ne connecter aucun appareil au réseau Hydro. N'allumez aucun appareil connecté au réseau Hydro. Veuillez déconnecter les appareils du réseau Hydro », lisez les avertissements avec une simple signature:« Security Service ».
Les employés des usines hydroélectriques de Portland utilisent manuellement l'équipement pour répondre aux commandes des clients pendant la phase initiale d'une cyberattaque.
Tout le personnel dans les premiers jours après la détection de l'attaque a travaillé sur des dossiers papier. Certaines usines sont passées au contrôle manuel pour exécuter les commandes de production. Des employés à la retraite familiarisés avec l'ancien système de papier sont retournés volontairement dans leurs usines pour soutenir la production.
"La façon dont nous nous sommes réunis pour surmonter la situation et reprendre la production a été une formation de renforcement d'équipe extrême", a déclaré Molland.
«Notre entreprise dispose d'une méthodologie de préparation aux situations d'urgence organisée qui définit les actions au niveau de l'entreprise, dans le secteur des entreprises et au niveau de l'usine», a-t-il ajouté. "Cela a fonctionné à notre avantage." Lorsque nous avons été touchés, nous avons pu gérer la situation de manière constructive et ordonnée. »
«En d'autres termes, la prévention est importante, mais le blocage de tous les attaquants ne devrait pas être la seule priorité de sécurité de l'entreprise», explique Joe De Wliger, directeur informatique chez Norsk Hydro.
"Si les pirates veulent pénétrer à l'intérieur, ils le feront", a déclaré De Wliger. «Nous avons maintenant un système amélioré de réponse aux incidents, et si cela se produit à nouveau, nous serons beaucoup mieux préparés à limiter les dégâts dans le temps et sur le territoire.»
Norsk Hydro a signalé l'incident au service national norvégien d'enquête criminelle (Kripos). «L'enquête est en cours», explique Molland.