Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

En Ukraine, un malware lié à BlackEnergy retrouvé dans des infrastructures vitales

La télé aux chandelles
Logiciel 6 min
En Ukraine, un malware lié à BlackEnergy retrouvé dans des infrastructures vitales
Crédits : ThinkDeep/iStock

En fin d’année dernière, BlackEnergy causait des troubles en Ukraine en provoquant des pannes dans des centrales électriques. Six mois plus tard, un malware s'en inspire mais change de cible : il s’en prend aux systèmes de contrôle industriels. Pour y voir plus clair, nous en avons discuté avec ESET et l'ANSSI.

Début 2016, on apprenait que la panne suspecte dans une centrale électrique ukrainienne avait été provoquée par un malware. Nommé BlackEnergy, il était une mise à jour d’un cheval de Troie créé en 2007 pour servir de relai dans des attaques par déni de service distribué (DDoS).

Le code était évolué et, contrairement à une menace telle que WannaCrypt, montrait d’évidents signes de travail soigneux, le malware étant notamment très discret. Contrairement à son ancienne version, il intégrait notamment un client SSH masqué pour communiquer avec le serveur de contrôle, ainsi qu’un composant nommé KillDisk, capable de détruire des secteurs sur un disque dur.

Résultat, une importante panne de courant, résultat de la coupure d’une centrale de l’entreprise Ukrenergo, touchant notamment la capitale du pays, Kiev. Récemment, deux sociétés de sécurité ont mis la main sur un nouveau malware qui présente d’étranges similitudes avec BlackEnergy, mais s’attaquant cette fois aux systèmes de contrôle industriels.

Similaires et pourtant très différents

Le malware change de nom selon quelle société en parle. Pour l’éditeur antivirus ESET, c’est Industroyer. Pour la société américaine Dragos, spécialisée dans la sécurité des infrastructures critiques (OIV), il s’agit de CrashOverRide. Mais l’un comme l’autre renvoient vers les mêmes pistes.

Tout laisse à penser qu’Industroyer/CrashOverRide a soit été créé par le même groupe que BlackEnergy, soit par le même type de groupe. C’est ce que nous indique notamment Benoit Grunenwald, directeur des opérations chez ESET France : « Il s’agit bien d’un nouveau malware, même s’il reprend des technologies que l’on pouvait voir dans BlackEnergy ».

On retrouve des caractéristiques particulières, comme « une qualité élevée du code, une grande discrétion, l’utilisation des techniques de rootkit et une vraie recherche sur le fonctionnement de ses cibles ». Quelles cibles ? Les systèmes de contrôle industriels, qui permettent, comme leur nom l’indique, de contrôler une activité précise.

Des protocoles vieux de plusieurs décennies

Ces systèmes de contrôle se retrouvent dans nombre d’usines et renseignent sur l’état de machines et autres capteurs via l’émission d’informations. Dans le cas présent, Industroyer est capable de détourner ces protocoles, particulièrement dans le domaine de la production d’énergie. Grunenwald nous confirme que le malware a été trouvé chez plusieurs clients OIV en Ukraine, sans nous donner cependant les noms de ces entreprises.

Comme nous l'affirme le responsable, il n’y a pas de failles à proprement parler dans les protocoles utilisés par les systèmes de Siemens et ABB, pointés comme les deux fournisseurs concernés. Cependant, ces systèmes de contrôle ont été conçus il y a plus de 30 ans et « n’ont pas été pensés pour des systèmes ouverts, avec des communications omniprésentes ».

Un malware capable d’entrainer des dégâts matériels

Industroyer/CrashOverRide en lui-même est modulaire, avec un composant central servant de porte dérobée et s’attaquant à Windows. On ne connait pas encore le vecteur d’origine et donc la méthode utilisée. Si l’on se rapproche de BlackEnergy, on peut imaginer qu’un spear phishing (harponnage ciblé) a été utilisé contre un employé précis afin de l’encourager à ouvrir une pièce jointe dans un email.

Une fois la porte dérobée en place, elle installe jusqu’à quatre composants supplémentaires, chacun visant un standard établi par l’IEC (International Electrotechnical Commission) : les protocoles IEC 60870-5-101, IEC 60870-5-104, IEC 61850 et OLE for Process Control Data Access (OPC DA), tous décrivant des méthodes de communications entre équipements industriels.

D’autres composants sont présents pour assurer la discrétion de l’ensemble. Une autre porte dérobée se cache sous la forme de l’application Bloc-notes, afin de se reconnecter au réseau en cas de coupure ou de détection du composant principal. En cas de problème, le malware peut empêcher tout redémarrage de la machine en saccageant la base de registre et en remplaçant certains fichiers. On trouve également un outil pour scanner les ports réseau, un module spécifique aux attaques DDoS ou encore un rootkit pour se cacher au démarrage. Les communications avec le serveur de contrôle passent quant à elle par Tor et se font le plus souvent « en dehors des heures de travail ».

ESET comme Dragos indiquent dans tous les cas qu’Industroyer/CrashOverRide peut provoquer de graves problèmes matériels. Puisque les protocoles sont manipulés, il devient possible par exemple de faire mentir une sonde alors qu’une installation est en surchauffe. Le malware peut manipuler et déformer les informations sans se faire repérer.

Un potentiel dont on imagine l’ampleur si le malware devait s’infiltrer dans d’autres OIV de la production énergétique, dans un barrage par exemple, ou dans le domaine pétrolier. Outre les coupures électriques que ces incidents entraîneraient, il existe tout autant un risque humain, selon les problèmes engendrés et le secteur touché.

Ukraine, une finalité ou un terrain d’essai ?

C’est la deuxième fois en six mois que l’Ukraine est impactée par un malware très évolué, capable de provoquer des pannes d’électricité, ou ayant le potentiel de le faire. Benoit Grunenwald nous confirme qu’il existe dans ce pays « une activité cybercriminelle très élevée ».

Une intensité qui recouvre une question : l’Ukraine est-il en tant que tel la cible finale, ou le pays sert-il de terrain d’entrainement pour d’éventuelles cibles plus coriaces ? Selon le responsable d’ESET, il est délicat de répondre à la question. D’un côté, l’Ukraine pourrait effectivement servir de première étape. De l’autre, pourquoi risquer l’exposition de certaines techniques et donc une prise en compte par les sociétés de sécurité ?

Une situation très différente de la France

Le fait qu’un pays puisse être attaqué plusieurs fois en six mois sur des infrastructures vitales pose immanquablement la question de la France : et si l’Hexagone était attaqué de la même manière ? Pour Benoit Grunenwald, le contexte est très différent, à cause d’un travail proactif mené par l’ANSSI. Il n’existe par exemple pas d’initiative équivalente à cybermalveillance.gouv.fr en Ukraine.

Contactée, l’agence nous rappelle qu’elle a mené avec les OIV une réflexion, puis établi des règles de sécurité, évoluant en fonction des secteurs, mais dont beaucoup sont communes. Depuis la Loi de programmation militaire (LPM), il est même devenu obligatoire pour ces opérateurs d’appliquer les règles dans un délai de deux ans à compter de la publication des arrêtés, secteur par secteur. Si les conditions ne sont pas remplies lors d'audits, l'amende peut grimper jusqu'à 150 000 euros pour une personne physique, et 750 000 euros pour une personne morale.

Ainsi, le secteur de la santé, la gestion de l’eau et l’alimentation étaient concernés dès le 1er juillet 2016. Trois mois plus tard, c’était au tour de l’approvisionnement en énergie électrique, en gaz naturel et en hydrocarbures pétroliers, notamment. Depuis huit mois environ, le secteur de l’énergie doit donc appliquer les règles définies. Notez que même hors du cadre strict des OIV, le secteur industriel bénéficie depuis un peu plus de trois ans maintenant de guides de bonnes pratiques.

26 commentaires
Avatar de vanesh INpactien
Avatar de vaneshvanesh- 16/06/17 à 07:44:57

Signaler ce commentaire aux modérateurs :

Mais est-ce que les règles mises en place en France seront suffisantes? J'ai comme un doute.

Avatar de pempem INpactien
Avatar de pempempempem- 16/06/17 à 07:54:30

Signaler ce commentaire aux modérateurs :

C'est rigolo, lorsqu'il y a une catastrophe ailleurs, la situation est toujours très différente chez nous. Par exemple, une tour peut bruler à Londre, mais la conception est tellement différente dans notre pays que cela ne pourrait pas arriver. Idem pour les centrales nucléaires bien mieux protégées. On est à la pointe de la technologie (pour autant que se soit encore une bonne chose :-))

Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 16/06/17 à 08:04:51

Signaler ce commentaire aux modérateurs :

Lol.
En France on a l'ANSII, et donc nos PLC Siemens sont protégés...
En plus on a les meilleurs automaticiens du monde, aucun''est un jeune qui sort juste de l'école avec seulement un BEP.

Avatar de wanou2 Abonné
Avatar de wanou2wanou2- 16/06/17 à 08:26:01

Signaler ce commentaire aux modérateurs :

pempem a écrit :

C'est rigolo, lorsqu'il y a une catastrophe ailleurs, la situation est toujours très différente chez nous. Par exemple, une tour peut bruler à Londre, mais la conception est tellement différente dans notre pays que cela ne pourrait pas arriver. Idem pour les centrales nucléaires bien mieux protégées. On est à la pointe de la technologie (pour autant que se soit encore une bonne chose :-))

Je pense que le fait qu'on soit en partie arriéré nous protège. Dans ma boite, on a encore un double réseau (un privé d'un côté et un ouvert sur l’extérieur de l'autre) qui impose pour certaines personnes d'avoir deux ordinateurs afin de conserver l'étanchéité. A un moment (quelques années) il était question de mettre en place des VM sur certains postes du réseau ouvert afin d'accéder au réseau privé. Cette solution a été remise aux calendes grecques

Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

Signaler ce commentaire aux modérateurs :

C'est toujours le même phénomène qui se reproduit, la règle étant qu'un drame n'est jamais possible. Quand un drame arrive, on cherche alors des solutions au problème pour qu'il ne se reproduise pas.

Des exemples : carrefours dangereux, passages à niveaux ferroviaires, accidents d'avions, accidents de centrales nucléaires, etc.

Un autre phénomène est la désignation d'un responsable qui permet de prendre des décisions de sécurité : dans les entreprises, il y a des exercices incendie (on fait évacuer l'immeuble pour que chacun sache adapter son comportement en cas de véritable incendie). Dans un immeuble d'habitation (je pense aux copropriétés privées), il n'y a pas d'exercice incendie, il n'y a bien souvent pas de maintenance des systèmes incendie.

Édité par joma74fr le 16/06/2017 à 08:40
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 16/06/17 à 08:47:51

Signaler ce commentaire aux modérateurs :

wanou2 a écrit :

Je pense que le fait qu'on soit en partie arriéré nous protège. Dans ma boite, on a encore un double réseau (un privé d'un côté et un ouvert sur l’extérieur de l'autre) qui impose pour certaines personnes d'avoir deux ordinateurs afin de conserver l'étanchéité. A un moment (quelques années) il était question de mettre en place des VM sur certains postes du réseau ouvert afin d'accéder au réseau privé. Cette solution a été remise aux calendes grecques

sinon on a inventé les vlans

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 16/06/17 à 08:50:21

Signaler ce commentaire aux modérateurs :

joma74fr a écrit :

Dans un immeuble d'habitation (je pense aux copropriétés privées), il n'y a pas d'exercice incendie, il n'y a bien souvent pas de maintenance des systèmes incendie.

je t'ai raconté les gens qui débranchent leur alarme incendie pour cuire un truc /fumer en intérieur/whatever ?

Eh ben je ne sais pas qui sont les électriciens qui ont branché ça, mais ça a rendu inopérant *tout* le système anti-incendie du bâtiment. 

Avatar de swiper Abonné
Avatar de swiperswiper- 16/06/17 à 09:09:49

Signaler ce commentaire aux modérateurs :

Tu sais, je travaille dans une bourse de l'énergie et hier encore je discutais avec un ingé réseau et il me disais que la solution d'avoir un wifi guest totalement séparé du lan était une assurance absolue de non intrusion.
Je lui disais que puisque nous allons mettre en place du wifi LAN sur un de nos prochains étage il était plus qu'approprié de n'avoir qu'une infra wifi mais qui émets deux SSID. Un light et un deuxième plutôt blindé.
Il essayait de me convaincre qu'un pirate pouvait passer du wifi guest au lan s'il était assez fort et que ça justifiait deux infra wifi distinctes, donc 2x plus d'argent dépensé. Sans parler de la psychose d'un hacker à la Die Hard 4(qui hack le monde avec une clé usb), il faut avouer que ce genre d'attaque sont préparées sur de long mois et qu'ils visent surtout l'erreur humaine pour entrer dans le SI. Du coup, l'étanchéité des réseaux physiques ne garantit pas le zéro risque.

Avatar de anonyme_69736061fe834a059975aa425bebeb6d INpactien

Signaler ce commentaire aux modérateurs :

News à troll ,juste pour une feature ex-URSS

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 16/06/17 à 09:18:07

Signaler ce commentaire aux modérateurs :

Les detecteurs sont, le plus souvent, monté en série. Le truc c'est de faire une boucle évidemment.
Celà dit, ce n'est pas normal de débrancher un détecteur du coup la station est sensé se mettre en alarme (tableau d'affichage) pour prévenir de la défaillance.

Maintenant normalement on fait des zones pour éviter que toute la surveillance d'un bâtiment tombe d'un coup

Il n'est plus possible de commenter cette actualité.
Page 1 / 3