Quatre militaires et employés des services de renseignement russes viennent d'être ajoutés à la liste des 112 « Cyber's Most Wanted » du FBI. Ses enquêteurs ne précisent pas comment ils ont enquêté et sont parvenus à amasser les preuves de leurs méfaits, mais l'acte d'accusation est instructif, et inquiétant.
Le département de la Justice américain a inculpé quatre employés du gouvernement russe impliqués dans deux campagnes de piratages ciblant des infrastructures critiques du secteur de l'énergie dans le monde entier : « au total, ces campagnes ont ciblé des milliers d'ordinateurs, des centaines d'entreprises et d'organisations, dans environ 135 pays » (France compris, mais sans plus de précisions).
Evgeny Viktorovich Gladkikh, 36 ans, est accusé d'avoir tenté, avec ses « co-conspirateurs » non identifiés, d'endommager des infrastructures critiques en dehors des États-Unis, « causant ainsi deux arrêts d'urgence distincts dans une installation étrangère ciblée ».
Il aurait en particulier installé un logiciel malveillant dans les systèmes de contrôle industriel (ICS) et la technologie opérationnelle (OT) d'une raffinerie étrangère « en utilisant des techniques conçues pour permettre des dommages physiques futurs avec des effets potentiellement catastrophiques ».
Le logiciel malveillant, que les chercheurs en cybersécurité ont appelé « Triton » ou « Trisis » et qui avait été attribué au gouvernement russe en 2018, ciblait un système de sécurité produit par Schneider Electric, avait été conçu pour empêcher le fonctionnement des systèmes de sécurité de la raffinerie, laissant l'ICS fonctionner de manière dangereuse mais tout en faisant croire qu'il fonctionnait normalement.
Il n'en avait pas moins provoqué une défaillance qui a conduit les systèmes de sécurité Schneider Electric de la raffinerie à déclencher deux arrêts d'urgence automatiques des opérations de la raffinerie.
L'alerte sur les tactiques, techniques et procédures (TTP) conjointement publié par la Cybersecurity and Infrastructure Security Agency (CISA), du FBI et du Department of Energy (DOE) précise que « TRITON est un logiciel malveillant personnalisé, sophistiqué et multi-étapes affectant le Triconex Tricon de Schneider Electric, un contrôleur logique programmable (PLC) de sécurité (également appelé système instrumenté de sécurité [SIS]), qui surveille les processus industriels pour prévenir les conditions dangereuses » :
« TRITON est capable d'interagir directement avec ces systèmes de sécurité, de les contrôler à distance et de les compromettre. Comme ces systèmes sont utilisés dans un grand nombre d'environnements, la capacité de désactiver, d'inhiber ou de modifier la capacité d'un processus à échouer en toute sécurité peut entraîner des conséquences physiques. »
Le « malware le plus meurtrier » jamais encore identifié
L'acte d'accusation explique que pour y parvenir, ils avaient utilisé une version modifiée du couteau suisse TCP/IP CryptCat, préalablement testé le 12 août 2014 sur une plateforme américaine de type VirusTotal, afin de s'assurer qu'il n'était pas détecté par les antivirus présents sur le marché, depuis une adresse IP de l'employeur de Gladkikh.
Ce dernier, « TsNIIKhM », un institut de recherche du ministère russe de la Défense, s'était vu assigner en 2009 la mission de devenir le principal centre de recherche et développement de nouveaux systèmes d'armes avancés, tant dans les domaines spatiaux que cyber.
Il se présentait lui-même comme « le principal organisme de recherche du ministère russe de la Défense », l'unité de Gladkikh effectuant « des recherches sur les menaces liées aux technologies de l'information pour les infrastructures essentielles ».
Aux alentours du 6 avril 2017, cette même version modifiée de CryptCat était de nouveau testée par une adresse IP du TsNIIKhM. Un mois plus tard, Gladkikh réussissait à compromettre le réseau informatique d'un site pétrochimique, en Arabie Saoudite. Il s'agissait alors d'une première dans ce secteur industriel.
Après avoir cherché à désactiver les systèmes de cybersécurité du réseau, Gladkikh et ses complices avaient exécuté cette même version modifiée de CryptCat : selon les métadonnées, elle avait été modifiée pour la dernière fois le 12 août 2014, et son l'empreinte numérique (hash) correspondait bien à celle testée par deux fois sur la plateforme américaine.
En quelques jours, ils parvenaient à installer une porte dérobée dans un ordinateur ayant accès au système instrumenté de sécurité (SIS) Triconex (l’un des produits phares de Schneider Electric) du site pétrochimique.
Après s'être familiarisé avec ses fonctionnalités, ainsi qu'aux méandres du réseau informatique, Gladkikh et ses complices avaient déployé Triton, qualifié par beaucoup de « malware le plus meurtrier » jamais identifié.
L'acte d'accusation insiste d'ailleurs sur le fait que Gladkikh et ses complices ont tenté à plusieurs reprises, en juin, juillet et août 2017, de déployer Triton sur les réseaux informatiques du site pétrochimique, mais également qu'ils auraient pu utiliser des outils moins sophistiqués si leur objectif n'avait été que d'espionner :
« Leurs méthodes démontrent que, plutôt que de chercher à simplement provoquer un arrêt de la raffinerie, ils voulaient empêcher ses systèmes de sécurité de fonctionner afin de provoquer des dommages physiques, [...] en désactivant ou en modifiant les fonctions d'arrêt de sécurité qui empêcheraient normalement une raffinerie de tomber en panne catastrophique. »
« Minimiser les dommages aux raffineries en cas d'attaque nucléaire »
Entre février et juillet 2018, les conspirateurs avaient par ailleurs recherché des raffineries similaires aux États-Unis, et tenté en vain de pirater les systèmes informatiques d'une société américaine.
Un ordinateur du TsNIIKhM avait en effet commencé par télécharger des rapports de recherche technique datant du début des années 1970 et consacré aux vulnérabilités des raffineries aux États-Unis, et à l'analyse des risques associés en cas d'explosion ou d'incendie.
Le professeur Thomas Rid pense les avoir retrouvés. Le premier est intitulé « Estimer l'effort de production et de réparation dans les raffineries de pétrole endommagées ou détruites ». Le second « Minimiser les dommages aux raffineries en cas d'attaque nucléaire ou de désastre naturel ou autre en temps de guerre ou paix ».
Quelques jours plus tard, Gladkikh utilisait un VPN pour enquêter au sujet de deux entreprises américaines dont les raffineries étaient mentionnées dans ces rapports gouvernementaux. Il s'intéressait notamment à leurs offres d'emploi, à mesure qu'elles mentionnent souvent des détails sur les techniques, systèmes et logiciels utilisés en interne, une pratique souvent observée dans des campagnes et cyberattaques similaires.
Dans la foulée, il lançait des attaques par injection SQL sur le site de l'une des deux entreprises, et une adresse IP du TsNIIKhM se connectait à un sous nom de domaine d'une de ses raffineries. L'acte d'accusation indique qu'il chercha plusieurs fois à s'y attaquer en mars, avril, mai et jusqu'à fin juillet, apparemment sans succès.
Les deux premiers chefs d'inculpation dont il fait l'objet, « complot en vue de causer des dommages à une installation énergétique » et « tentative de causer des dommages à une installation énergétique », sont tous deux passibles d'une peine maximale de 20 ans de prison. Le troisième, « complot en vue de commettre une fraude informatique », est quant à lui passible d'une peine maximale de cinq ans de prison.
« Perturber et endommager des systèmes informatiques »
Pavel Aleksandrovich Akulov, 36 ans, Mikhail Mikhailovich Gavrilov, 42 ans, et Marat Valeryevich Tyukov, 39 ans, sont quant à eux accusés d'avoir, avec leurs complices non identifiés, cherché à « cibler et compromettre les ordinateurs de centaines d'entités dans le monde », entre 2012 et 2017, dans le cadre des efforts du gouvernement russe pour « maintenir un accès subreptice, non autorisé et persistant » à leurs réseaux informatiques.
Étaient particulièrement visés les logiciels et le matériel qui contrôlent les équipements des installations de production d'électricité, connus sous le nom de systèmes ICS ou de contrôle de surveillance et d'acquisition de données (SCADA), d'entreprises et organisations du secteur international de l'énergie, y compris des sociétés pétrolières et gazières, des centrales nucléaires et des sociétés de services publics et de transmission d'électricité :
« L'accès à de tels systèmes aurait fourni au gouvernement russe la possibilité, entre autres, de perturber et d'endommager ces systèmes informatiques à un moment futur de son choix. »
Ces trois officiers du renseignement militaire travaillaient pour le Service fédéral de sécurité (FSB) russe. Ils étaient membres de l'unité opérationnelle « Centre 16 » connue des chercheurs de cybersécurité comme « Dragonfly », « Berzerk Bear », « Energetic Bear » et « Crouching Yeti ». Leur campagne aurait comporté deux phases.
La première phase, entre 2012 et 2014 et que les chercheurs en cybersécurité appellent communément «Dragonfly » ou « Havex », consistait à s'attaquer à la chaîne d'approvisionnement des cibles visées, en compromettant les réseaux informatiques des fabricants de systèmes ICS/SCADA et fournisseurs de logiciels, puis en cachant des logiciels malveillants – connus publiquement sous le nom de « Havex » – dans des mises à jour logicielles légitimes pour ces systèmes :
« Après que des clients sans méfiance aient téléchargé des mises à jour infectées par Havex, les conspirateurs utilisaient le logiciel malveillant pour, entre autres, créer des portes dérobées dans les systèmes infectés et analyser les réseaux des victimes à la recherche d'appareils ICS/SCADA supplémentaires. »
Havex est un cheval de Troie d'accès à distance (RAT) qui communique avec un serveur de commande et de contrôle (C2), précise l'alerte sur TTP : « le serveur C2 déploie des charges utiles qui énumèrent toutes les ressources réseau collectées et utilise la norme Open Platform Communications (OPC) pour collecter des informations sur les périphériques et les ressources des systèmes de contrôle connectés au sein du réseau » :
« Havex a permis à l'acteur d'installer des logiciels malveillants supplémentaires et d'extraire des données, notamment des informations système, des listes de fichiers et de programmes installés, des carnets d'adresses e-mail et des fichiers de configuration de réseau privé virtuel (VPN). La charge utile Havex peut entraîner le blocage des plateformes OPC courantes, ce qui peut entraîner une condition de déni de service sur les applications qui reposent sur les communications OPC. »
À partir de 2016, ils ont commencé à cibler largement les réseaux du secteur américain de l'énergie. L'acteur a mené ces attaques en deux étapes : en ciblant d'abord des organisations commerciales tierces (vendeurs, intégrateurs et fournisseurs), puis des organisations du secteur de l'énergie.
Des « attaques de point d'eau » pour compromettre 17 000 terminaux
Pour masquer leurs activités, les officiers du FSB avaient commencé par compromettre une entreprise américaine, afin de s'en servir comme d'un proxy et faire croire que leur trafic Internet émanait des États-Unis. Mais pas sans laisser de traces :
« Les conspirateurs ont utilisé le même mot de passe pour accéder aux 250 domaines utilisés pour héberger les centres de contrôles C2 de l'infrastructure Havex. »
Ils avaient également exploité des vulnérabilités logicielles pour accéder aux réseaux informatiques de certaines de leurs cibles, s'y créer des comptes e-mail afin de lancer des attaques par harponnage (« spear phishing » ciblés) en se faisant passer pour des experts en infrastructures critiques cherchant du travail, et masquant le logiciel malveillant dans leurs CV.
Si les firewalls de leurs victimes ne bloquaient pas le trafic sortant SMB, les serveurs des attaquants récupéraient le hash de leurs identifiants et mots de passe qui, s'ils parvenaient à les décrypter par force brute, leur permettaient d'usurper leurs identités, et compromettre leurs comptes.
Après avoir identifié, sur le site de l'Agence internationale de l'énergie atomique, une liste d'entreprises et administrations impliquées dans la filière nucléaire aux États-Unis, ils avaient également réussi à récupérer, en attaquant un site utilisé par nombre d'entre elles, via des injections SQL, une liste de plus de 10 000 identifiants et mots de passe de travailleurs du nucléaire.
Une autre injection SQL sur un autre site leur avait permis de récupérer l'identifiant et le mot de passe de son administrateur. Ils avaient ensuite remplacé le pilote informatique proposé au téléchargement par le site web par une version infectée par Havex, et que les enquêteurs ont depuis retrouvé sur un système SCADA utilisé par une centrale électrique américaine.
Grâce à ces efforts et à d'autres, y compris des « attaques de point d'eau » (« Watering Hole Attack », consistant à piéger un site web régulièrement visité par ceux que l'attaquant veut compromettre), les conspirateurs avaient réussi à déployer des logiciels malveillants sur plus de 17 000 terminaux, y compris des controleurs ICS/SCADA.
Un cheval de Troie d'accès à distance dans une centrale nucléaire
Au cours de la deuxième phase, communément appelée « Dragonfly 2.0 » et qui dura de 2014 à 2017, les conspirateurs ont pivoté vers des cibles encore plus affinées, sélectionnant des entités spécifiques du secteur de l'énergie, des individus et des ingénieurs qui travaillaient avec des systèmes ICS/SCADA.
Ils avaient ainsi, aux alentours de mars 2014, exploité une faille logicielle pour compromettre un serveur d'une de leurs cibles, et s'y créer des comptes administrateurs associés à des identifiants ressemblant à des processus légitimes : MS_AutoUP, SYSTEM_USER, LOCAL_SYS et SYSTEM_NT.
Signe du niveau de menace persistante avancée (Advanced Persistent Threat, ou APT, acronyme désignant les groupes de hackers controlés ou sponsorisés par des États, et dont c'est le métier), ils ne s'en servirent que trois ans plus tard, aux alentours de mars 2017, pour se créer quatre adresses e-mail associées au nom de domaine de l'entreprise compromise.
Ils tentèrent dans la foulée de harponner plus de 3 300 utilisateurs dans plus de 500 entreprises et agences gouvernementales internationales, dont 170 américaines. L'acte d'accusation prend soin d'anonymiser la quasi-totalité de leurs cibles, mais précise qu'on y trouve plusieurs adresses de fournisseurs d'énergie, ainsi qu'une associée à la Commission de réglementation nucléaire des États-Unis, chargée de la sûreté nucléaire et de son respect.
Ils ciblaient tout particulièrement des utilisateurs ayant accès à leurs infrastructures critiques et, si la majeure partie de leurs tentatives de harponnage furent bloquées par les firewalls et systèmes de sécurité de leurs victimes, n'en avaient pas moins réussi à compromettre « au moins un compte » de la Wolf Creek Nuclear Operating Corporation à Burlington, Kansas, qui exploite une centrale nucléaire.
Après s'en être servi pour installer Havex sur son réseau informatique, qui n'était pas directement connecté à l'équipement ICS/SCADA de l'entreprise, Gavrilov l'avait utilisé pour évoluer latéralement dans le réseau, accéder aux identifiants d'autres employés et les compromettre. Par exemple, le 11 mai 2017, en plaçant un raccourci (SETROUTE.lnk) piégé dans plusieurs de ses dossiers partagés :
« Les fichiers de raccourci avaient été conçus pour demander l'accès à une icône de fichier (e.g. pic.png) à partir d'un serveur contrôlé par les conspirateurs, envoyant ainsi les informations d'identification de l'utilisateur à ces serveurs via une attaque de redirection SMB [qui] n'obligeait pas l'utilisateur à cliquer sur le fichier malveillant : cette attaque se déclenchait lorsqu'un utilisateur ouvrait un répertoire contenant le fichier de raccourci. »
Le lendemain, Akulov se familiarisait avec les réseaux compromis et, le 15 mai, Gavrilov y ajoutait six autres fichiers infectés (svcsrv.bat, Inveighs.ps1, Inveigh-Relays.ps1, notepad.exe.lnk, d.js et SD.bat) destinés à collecter d'autres informations, dont les empreintes numériques (hash) des identifiants et mots de passe des ordinateurs du réseau.
Ce qui leur permit de compromettre le compte d' « au moins » un second employé de Wolf Creek, aux alentours du 18 mai, et d'y installer le logiciel malveillant.
Jusqu'à 10 millions de dollars de récompense
Au cours de la phase « Dragonfly 2.0 », les conspirateurs ont également entrepris des « attaques de point d'eau », en compromettant les serveurs qui hébergeaient des sites couramment visités par les ingénieurs du système ICS/SCADA et d'autres ingénieurs du secteur de l'énergie, grâce à des vulnérabilités connues du public dans les logiciels de gestion de contenu :
« Lorsque les ingénieurs ont navigué sur un site Web compromis, les scripts cachés des conspirateurs ont déployé des logiciels malveillants conçus pour capturer les identifiants de connexion sur leurs ordinateurs. »
De décembre 2016 à juin 2017, les officiers du FSB avaient à cet effet exploité des vulnérabilités non corrigées afin d'injecter des codes javascript malveillants sur « au moins » six noms de domaine.
Pour y parvenir, ils avaient aussi envoyé un email piégé à l'un des administrateurs de l'un de ces sites web qui, en ouvrant la pièce jointe, permit aux conspirateurs de récupérer l'empreinte de son identifiant et de son mot de passe. Six jours plus tard, ils avaient craqué son mot de passe, et compromettaient son site web.
Akulov, Gavrilov et Tyukov sont accusés de « complot en vue de causer des dommages à la propriété d'une installation énergétique », de fraude et d'abus informatiques, passible de cinq ans de prison, ainsi que de « complot en vue de commettre une fraude électronique », passible de 20 ans de prison.
Akulov et Gavrilov sont également accusés de « fraude électronique et de fraude informatique liés à l'obtention illégale d'informations à partir d'ordinateurs et à l'endommagement d'ordinateurs », passibles de peines maximales allant de 5 à 20 ans de prison.
Enfin, Akulov et Gavrilov sont également inculpés de trois chefs d'usurpation d'identité aggravée, chacun étant passible d'une peine minimale de 2 ans consécutifs à toute autre peine prononcée.
Le Département d'État propose une récompense pouvant aller jusqu'à 10 millions de dollars pour toute information menant à l'arrestation d'un accusé ou à l'identification d'autres conspirateurs dans le cadre de son programme Rewards for Justice.
L'alerte conjointe contenant les détails techniques, indicateurs de compromission et mesures d'atténuation précise que « TsNIIKhM a également été impliqué dans des activités ciblant des entreprises américaines du secteur de l'énergie en 2018, et d'autres acteurs associés à TsNIIKhM ont ciblé les installations d'une entreprise basée aux États-Unis pour tenter d'accéder aux systèmes OT de l'entreprise ».
Pour autant, « à ce jour, la CISA, le FBI et le DOE n'ont aucune information indiquant que ces acteurs ont intentionnellement perturbé l'infrastructure du secteur énergétique américain. »
Commentaires (17)
#1
Cafépeur. Heureusement que l’Amérique est la pour surveiller! Je fais confiance a la NSA pour n’avoir jamais commis de telle cyber-ignominie :)
[troll off]
très bon papier sinon, on a pas souvent l’occasion de voir d’aussi près du hacking de haute voltige
#2
Merci pour cet article détaillé et documenté
#3
“Le Département d’État” propose une récompense pouvant aller
jusqu’à 10 millions de dollarss pour toute information menant à l’arrestation d’un accusé..
je reconnais là, les “Yankees” (et leur héritage du “Far-West”) !
#4
Merci bcp pour cet article détaillé et instructif.
Je suis toujours surpris des moyens et surtout des résultats de la lutte contre ce genre d’actions.
On se demande parfois comment il remonte les fil.
#4.1
Vu le contexte il y a possiblement plein de gens qui “passent à l’ouest” avec plein de dossiers permettant de monnayer une nouvelle vie.
#5
#BalanceTonHacker
Et pourquoi des systèmes de sécurité sont accessible depuis l’extérieur ?
#5.1
Quelques précisions :
Dans l’article il est précisé que les attaques ont commencées il y a 10 ans. A cette époque la culture sécurité n’était pas aussi développé qu’aujourd’hui. A titre de comparaison, les décrets de sécurisation des OIV (énergie, télécom, santé, …) date de 2016
De plus le palier de temps du matériel industriel se compte en dizaines d’années pas en années.
Si tu as 1000 automates à 5000 € répartis sur 20 sites qui doivent se configurer par port série avec une application sous DOS du doit utiliser un PC sous Windows 95 quelle que soit la position du RSSII. Et pas question de remplacer les automates.
Les utilisateurs de SCADA (réseau Industriel) ne peuvent pas être complètement déconnecté du réseau de gestion, de nombreuses applications nécessaires à leurs activités ne sont pas des applications industrielles.
Pendant longtemps, de nombreuses personnes ont pensé, à tort, qu’un Firewall (enfin 2) était amplement suffisants pour protéger les infrastructures industrielles.
#6
Super article !
Merci
#7
La vraie question c’est plutôt qui est le machine designer qui gère des systèmes de sécurité par PLC et pas en hardwired ?
Comment ne pas segreger au maximum l’IT et l’OT ? Etc.
C’est de la cybersec indus de base.
#8
Super article merci
#9
#10
Intéressant que le RFJ utilise TOR pour sa ligne d’info..
#11
Merci pour cet article passionnant !
#12
Oui oui je sais bien, c’est mon job actuel très précisément
Le souci c’est qu’en plus de mal sécuriser la partie info / indus de leurs machines, ils sécurisent très mal la partie “mécanique” : quand on a un risque sur des machines (machines tournantes, ATEX, équipements sous pression, etc.) on met des instruments séparés et totalement autonomes pour couper toutes les énergies directement électriquement (on dit “hardwired”), surtout pas par le PLC. Enfin si, ca envoie un ordre aux PLC de couper le process, mais ca agit surtout directement en amont sur les moteurs, les amenées d’energie, etc.
Et quand le risque est vraiment grand, on prend des instruments spéciaux (avec un niveau de SIL 2 ou 3) voire on les redonde.
#13
Merci pour cette analyse, je trouve ça passionnant d’avoir les détails d’une stratégie long terme comme celle-ci.
#14
Très bon article, merci pour tous ces détails a faire pâlir le bureau des légendes
#15
/me se rappelle d’un projet par EDF de porter sous linux un système sous DOS avec une carte ISA pour piloter je sais plus quoi, et bien sur pas de support du constructeur (je crois qu’il avait disparu).
Il avait fallu modifier qemu pour tracer ce que faisait le programme , et refaire la même chose sous linux… :-)