En fin d’année dernière, BlackEnergy causait des troubles en Ukraine en provoquant des pannes dans des centrales électriques. Six mois plus tard, un malware s'en inspire mais change de cible : il s’en prend aux systèmes de contrôle industriels. Pour y voir plus clair, nous en avons discuté avec ESET et l'ANSSI.
Début 2016, on apprenait que la panne suspecte dans une centrale électrique ukrainienne avait été provoquée par un malware. Nommé BlackEnergy, il était une mise à jour d’un cheval de Troie créé en 2007 pour servir de relai dans des attaques par déni de service distribué (DDoS).
Le code était évolué et, contrairement à une menace telle que WannaCrypt, montrait d’évidents signes de travail soigneux, le malware étant notamment très discret. Contrairement à son ancienne version, il intégrait notamment un client SSH masqué pour communiquer avec le serveur de contrôle, ainsi qu’un composant nommé KillDisk, capable de détruire des secteurs sur un disque dur.
Résultat, une importante panne de courant, résultat de la coupure d’une centrale de l’entreprise Ukrenergo, touchant notamment la capitale du pays, Kiev. Récemment, deux sociétés de sécurité ont mis la main sur un nouveau malware qui présente d’étranges similitudes avec BlackEnergy, mais s’attaquant cette fois aux systèmes de contrôle industriels.
Similaires et pourtant très différents
Le malware change de nom selon quelle société en parle. Pour l’éditeur antivirus ESET, c’est Industroyer. Pour la société américaine Dragos, spécialisée dans la sécurité des infrastructures critiques (OIV), il s’agit de CrashOverRide. Mais l’un comme l’autre renvoient vers les mêmes pistes.
Tout laisse à penser qu’Industroyer/CrashOverRide a soit été créé par le même groupe que BlackEnergy, soit par le même type de groupe. C’est ce que nous indique notamment Benoit Grunenwald, directeur des opérations chez ESET France : « Il s’agit bien d’un nouveau malware, même s’il reprend des technologies que l’on pouvait voir dans BlackEnergy ».
On retrouve des caractéristiques particulières, comme « une qualité élevée du code, une grande discrétion, l’utilisation des techniques de rootkit et une vraie recherche sur le fonctionnement de ses cibles ». Quelles cibles ? Les systèmes de contrôle industriels, qui permettent, comme leur nom l’indique, de contrôler une activité précise.
Des protocoles vieux de plusieurs décennies
Ces systèmes de contrôle se retrouvent dans nombre d’usines et renseignent sur l’état de machines et autres capteurs via l’émission d’informations. Dans le cas présent, Industroyer est capable de détourner ces protocoles, particulièrement dans le domaine de la production d’énergie. Grunenwald nous confirme que le malware a été trouvé chez plusieurs clients OIV en Ukraine, sans nous donner cependant les noms de ces entreprises.
Comme nous l'affirme le responsable, il n’y a pas de failles à proprement parler dans les protocoles utilisés par les systèmes de Siemens et ABB, pointés comme les deux fournisseurs concernés. Cependant, ces systèmes de contrôle ont été conçus il y a plus de 30 ans et « n’ont pas été pensés pour des systèmes ouverts, avec des communications omniprésentes ».
Un malware capable d’entrainer des dégâts matériels
Industroyer/CrashOverRide en lui-même est modulaire, avec un composant central servant de porte dérobée et s’attaquant à Windows. On ne connait pas encore le vecteur d’origine et donc la méthode utilisée. Si l’on se rapproche de BlackEnergy, on peut imaginer qu’un spear phishing (harponnage ciblé) a été utilisé contre un employé précis afin de l’encourager à ouvrir une pièce jointe dans un email.
Une fois la porte dérobée en place, elle installe jusqu’à quatre composants supplémentaires, chacun visant un standard établi par l’IEC (International Electrotechnical Commission) : les protocoles IEC 60870-5-101, IEC 60870-5-104, IEC 61850 et OLE for Process Control Data Access (OPC DA), tous décrivant des méthodes de communications entre équipements industriels.
D’autres composants sont présents pour assurer la discrétion de l’ensemble. Une autre porte dérobée se cache sous la forme de l’application Bloc-notes, afin de se reconnecter au réseau en cas de coupure ou de détection du composant principal. En cas de problème, le malware peut empêcher tout redémarrage de la machine en saccageant la base de registre et en remplaçant certains fichiers. On trouve également un outil pour scanner les ports réseau, un module spécifique aux attaques DDoS ou encore un rootkit pour se cacher au démarrage. Les communications avec le serveur de contrôle passent quant à elle par Tor et se font le plus souvent « en dehors des heures de travail ».
ESET comme Dragos indiquent dans tous les cas qu’Industroyer/CrashOverRide peut provoquer de graves problèmes matériels. Puisque les protocoles sont manipulés, il devient possible par exemple de faire mentir une sonde alors qu’une installation est en surchauffe. Le malware peut manipuler et déformer les informations sans se faire repérer.
Un potentiel dont on imagine l’ampleur si le malware devait s’infiltrer dans d’autres OIV de la production énergétique, dans un barrage par exemple, ou dans le domaine pétrolier. Outre les coupures électriques que ces incidents entraîneraient, il existe tout autant un risque humain, selon les problèmes engendrés et le secteur touché.
Ukraine, une finalité ou un terrain d’essai ?
C’est la deuxième fois en six mois que l’Ukraine est impactée par un malware très évolué, capable de provoquer des pannes d’électricité, ou ayant le potentiel de le faire. Benoit Grunenwald nous confirme qu’il existe dans ce pays « une activité cybercriminelle très élevée ».
Une intensité qui recouvre une question : l’Ukraine est-il en tant que tel la cible finale, ou le pays sert-il de terrain d’entrainement pour d’éventuelles cibles plus coriaces ? Selon le responsable d’ESET, il est délicat de répondre à la question. D’un côté, l’Ukraine pourrait effectivement servir de première étape. De l’autre, pourquoi risquer l’exposition de certaines techniques et donc une prise en compte par les sociétés de sécurité ?
Une situation très différente de la France
Le fait qu’un pays puisse être attaqué plusieurs fois en six mois sur des infrastructures vitales pose immanquablement la question de la France : et si l’Hexagone était attaqué de la même manière ? Pour Benoit Grunenwald, le contexte est très différent, à cause d’un travail proactif mené par l’ANSSI. Il n’existe par exemple pas d’initiative équivalente à cybermalveillance.gouv.fr en Ukraine.
Contactée, l’agence nous rappelle qu’elle a mené avec les OIV une réflexion, puis établi des règles de sécurité, évoluant en fonction des secteurs, mais dont beaucoup sont communes. Depuis la Loi de programmation militaire (LPM), il est même devenu obligatoire pour ces opérateurs d’appliquer les règles dans un délai de deux ans à compter de la publication des arrêtés, secteur par secteur. Si les conditions ne sont pas remplies lors d'audits, l'amende peut grimper jusqu'à 150 000 euros pour une personne physique, et 750 000 euros pour une personne morale.
Ainsi, le secteur de la santé, la gestion de l’eau et l’alimentation étaient concernés dès le 1er juillet 2016. Trois mois plus tard, c’était au tour de l’approvisionnement en énergie électrique, en gaz naturel et en hydrocarbures pétroliers, notamment. Depuis huit mois environ, le secteur de l’énergie doit donc appliquer les règles définies. Notez que même hors du cadre strict des OIV, le secteur industriel bénéficie depuis un peu plus de trois ans maintenant de guides de bonnes pratiques.
