Des pirates russes identifiés dans un réseau de satellites US

La CISA a récemment révélé avoir repéré, en début d’année 2022, une intrusion du groupe cybercriminel russe Fancy Bear (alias APT28) dans les SI d’un fournisseur de communications par satellite. Ce dernier a pour clients plusieurs opérateurs américains critiques du domaine spatial.

D’après la CISA, Fancy Bear avait infecté le réseau depuis plusieurs mois. Le groupe cybercriminel avait réussi à récupérer des identifiants de connexion en exploitant une vulnérabilité découverte en 2018, mais non corrigée par la société visée.

Et comme le fournisseur de communication utilisait les mêmes identifiants pour ses comptes « d’urgence » et pour les comptes ordinaires, les pirates informatiques ont facilement pu se connecter avec des privilèges plus hauts.

Au moment de l’intrusion, la victime transmettait également du trafic SCADA non chiffré, incluant des données comme l’état des dispositifs industriels et des commandes provenant de centres de contrôle.

Selon le spécialiste de cybersécurité spatiale Gregory Falco, le manque de normes dans l’industrie spatiale contribue à une approche incohérente de la sécurité, laissant de nombreux systèmes vulnérables aux attaques. « Les entreprises de télécommunications par satellite sont un véritable cauchemar en matière de sécurité », a-t-il déclaré.

La CISA souhaitait que l’industrie spatiale soit considérée comme une infrastructure critique. Cela lui donnerait un meilleur accès aux mécanismes de partage des renseignements et aux ressources de planification des catastrophes. Mais le secteur spatial américain reste très réticent à cette ouverture.