Skip to content
Cyber Breaches
Recherche
EspionnageRésolu

Cyberattaque contre une aciérie allemande

Des attaquants ont utilisé le harponnage pour passer du réseau bureautique d'une aciérie allemande à son réseau de production, manipulant les commandes industrielles de sorte qu'un haut-fourneau n'a pas pu être arrêté correctement et a subi d'importants dommages physiques.

Victime
Unnamed German steel mill
SecteurIndustrie
PaysAllemagne
Attaquants nommésActeurs sophistiqués non identifiés

Dans son rapport annuel publié le 17 décembre 2014, l'Office fédéral allemand de la sécurité de l'information (BSI) a révélé une cyberattaque contre une aciérie non nommée ayant causé d'importants dommages physiques à un haut-fourneau — seulement le deuxième cas publiquement documenté, après Stuxnet, d'une cyberattaque produisant une destruction réelle d'équipements industriels.

Ce qui s'est passé

Les attaquants ont commencé par du harponnage ciblé et de l'ingénierie sociale visant le personnel, s'implantant dans le réseau bureautique de l'usine. De là, ils sont passés au réseau de production — l'environnement de technologie opérationnelle (OT) qui commande les machines physiques.

Une fois dans les systèmes de contrôle, les intrus ont manipulé et perturbé des composants de contrôle industriel. La conséquence fut grave : un haut-fourneau n'a pas pu être arrêté de la manière normale et contrôlée et est resté dans un « état indéfini ». L'arrêt incorrect a causé des dommages massifs à l'ensemble du système.

Impact

  • Un haut-fourneau — parmi les équipements les plus dangereux et coûteux de l'industrie lourde — a subi des dommages physiques substantiels.
  • Aucune blessure parmi les employés ou le public n'a été signalée.
  • Le BSI n'a ni nommé la victime, ni chiffré les pertes financières, ni attribué l'attaque, mais a décrit les attaquants comme possédant une connaissance avancée à la fois de la sécurité informatique conventionnelle et des systèmes de contrôle industriel spécifiques utilisés — une combinaison désignant un acteur sophistiqué et bien doté.

Pourquoi c'est important

L'attaque de l'aciérie allemande est une référence en matière de sécurité cyber-physique. Là où la plupart des violations volent des données, celle-ci a détruit un actif physique, prouvant que le pivot IT vers OT — d'un courriel de phishing au bureau à un haut-fourneau dans l'usine — n'est pas théorique. Elle a démontré que la séparation que de nombreux exploitants supposaient protéger leurs réseaux de production était en réalité franchie via une compromission ordinaire du réseau d'entreprise.

L'incident est devenu fondateur de la doctrine de sécurité ICS/OT, cité dans le NIST, l'IEC 62443 et les programmes nationaux d'infrastructures critiques comme preuve que la segmentation réseau, la surveillance OT et les défenses résistantes au phishing sont essentielles là où les défaillances cyber peuvent se traduire en dommages cinétiques et en risques pour la sécurité physique. La loi allemande sur la sécurité informatique (IT-Sicherheitsgesetz, 2015) et les règles KRITIS sur les infrastructures critiques se sont inspirées précisément de cette catégorie de menace.

Chronologie

  1. Les attaquants envoient des courriels de harponnage ciblés au personnel d'une aciérie allemande pour s'implanter dans le réseau bureautique de l'entreprise.

  2. Depuis le réseau bureautique, les intrus passent au réseau de production / de contrôle de l'usine.

  3. Des composants de contrôle industriel sont manipulés, laissant un haut-fourneau dans un état indéfini.

  4. Le haut-fourneau ne peut pas être arrêté de manière normale et contrôlée, causant d'importants dommages physiques au système.

  5. L'Office fédéral allemand de la sécurité de l'information (BSI) détaille l'incident dans son rapport annuel, sans nommer la victime.

Sources

  1. bsi.bund.dehttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf
  2. securityweek.comhttps://www.securityweek.com/cyberattack-german-steel-plant-causes-significant-damage-report/
  3. theregister.comhttps://www.theregister.com/2014/12/22/hackers_pop_german_steel_mill_wreck_furnace/
  4. pbs.orghttps://www.pbs.org/wgbh/nova/article/cyber-attack-german-steel-mill-leads-massive-real-world-damage

Incidents liés

EspionnageRésolu

Intrusion dans le Bundestag allemand (APT28)

L'unité 26165 du GRU russe (APT28 / Fancy Bear) a compromis le réseau parlementaire du Bundestag, exfiltrant ~16 Go de données dont des courriels du bureau parlementaire de la chancelière Merkel. A contraint à une reconstruction complète du parc informatique du Bundestag.

Victim
Deutscher Bundestag (parlement fédéral allemand)
Loss
$22.0M
RançongicielContenu

Rançongiciel LockBit contre Continental AG (Allemagne, 2022)

Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.

Victim
Continental AG
Chaîne d’approvisionnementContenu

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss
$200.0M
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B