En Ukraine, un malware lié à BlackEnergy retrouvé dans des infrastructures vitales

En Ukraine, un malware lié à BlackEnergy retrouvé dans des infrastructures vitales

La télé aux chandelles

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

16/06/2017 7 minutes
26

En Ukraine, un malware lié à BlackEnergy retrouvé dans des infrastructures vitales

En fin d’année dernière, BlackEnergy causait des troubles en Ukraine en provoquant des pannes dans des centrales électriques. Six mois plus tard, un malware s'en inspire mais change de cible : il s’en prend aux systèmes de contrôle industriels. Pour y voir plus clair, nous en avons discuté avec ESET et l'ANSSI.

Début 2016, on apprenait que la panne suspecte dans une centrale électrique ukrainienne avait été provoquée par un malware. Nommé BlackEnergy, il était une mise à jour d’un cheval de Troie créé en 2007 pour servir de relai dans des attaques par déni de service distribué (DDoS).

Le code était évolué et, contrairement à une menace telle que WannaCrypt, montrait d’évidents signes de travail soigneux, le malware étant notamment très discret. Contrairement à son ancienne version, il intégrait notamment un client SSH masqué pour communiquer avec le serveur de contrôle, ainsi qu’un composant nommé KillDisk, capable de détruire des secteurs sur un disque dur.

Résultat, une importante panne de courant, résultat de la coupure d’une centrale de l’entreprise Ukrenergo, touchant notamment la capitale du pays, Kiev. Récemment, deux sociétés de sécurité ont mis la main sur un nouveau malware qui présente d’étranges similitudes avec BlackEnergy, mais s’attaquant cette fois aux systèmes de contrôle industriels.

Similaires et pourtant très différents

Le malware change de nom selon quelle société en parle. Pour l’éditeur antivirus ESET, c’est Industroyer. Pour la société américaine Dragos, spécialisée dans la sécurité des infrastructures critiques (OIV), il s’agit de CrashOverRide. Mais l’un comme l’autre renvoient vers les mêmes pistes.

Tout laisse à penser qu’Industroyer/CrashOverRide a soit été créé par le même groupe que BlackEnergy, soit par le même type de groupe. C’est ce que nous indique notamment Benoit Grunenwald, directeur des opérations chez ESET France : « Il s’agit bien d’un nouveau malware, même s’il reprend des technologies que l’on pouvait voir dans BlackEnergy ».

On retrouve des caractéristiques particulières, comme « une qualité élevée du code, une grande discrétion, l’utilisation des techniques de rootkit et une vraie recherche sur le fonctionnement de ses cibles ». Quelles cibles ? Les systèmes de contrôle industriels, qui permettent, comme leur nom l’indique, de contrôler une activité précise.

Des protocoles vieux de plusieurs décennies

Ces systèmes de contrôle se retrouvent dans nombre d’usines et renseignent sur l’état de machines et autres capteurs via l’émission d’informations. Dans le cas présent, Industroyer est capable de détourner ces protocoles, particulièrement dans le domaine de la production d’énergie. Grunenwald nous confirme que le malware a été trouvé chez plusieurs clients OIV en Ukraine, sans nous donner cependant les noms de ces entreprises.

Comme nous l'affirme le responsable, il n’y a pas de failles à proprement parler dans les protocoles utilisés par les systèmes de Siemens et ABB, pointés comme les deux fournisseurs concernés. Cependant, ces systèmes de contrôle ont été conçus il y a plus de 30 ans et « n’ont pas été pensés pour des systèmes ouverts, avec des communications omniprésentes ».

Un malware capable d’entrainer des dégâts matériels

Industroyer/CrashOverRide en lui-même est modulaire, avec un composant central servant de porte dérobée et s’attaquant à Windows. On ne connait pas encore le vecteur d’origine et donc la méthode utilisée. Si l’on se rapproche de BlackEnergy, on peut imaginer qu’un spear phishing (harponnage ciblé) a été utilisé contre un employé précis afin de l’encourager à ouvrir une pièce jointe dans un email.

Une fois la porte dérobée en place, elle installe jusqu’à quatre composants supplémentaires, chacun visant un standard établi par l’IEC (International Electrotechnical Commission) : les protocoles IEC 60870-5-101, IEC 60870-5-104, IEC 61850 et OLE for Process Control Data Access (OPC DA), tous décrivant des méthodes de communications entre équipements industriels.

D’autres composants sont présents pour assurer la discrétion de l’ensemble. Une autre porte dérobée se cache sous la forme de l’application Bloc-notes, afin de se reconnecter au réseau en cas de coupure ou de détection du composant principal. En cas de problème, le malware peut empêcher tout redémarrage de la machine en saccageant la base de registre et en remplaçant certains fichiers. On trouve également un outil pour scanner les ports réseau, un module spécifique aux attaques DDoS ou encore un rootkit pour se cacher au démarrage. Les communications avec le serveur de contrôle passent quant à elle par Tor et se font le plus souvent « en dehors des heures de travail ».

ESET comme Dragos indiquent dans tous les cas qu’Industroyer/CrashOverRide peut provoquer de graves problèmes matériels. Puisque les protocoles sont manipulés, il devient possible par exemple de faire mentir une sonde alors qu’une installation est en surchauffe. Le malware peut manipuler et déformer les informations sans se faire repérer.

Un potentiel dont on imagine l’ampleur si le malware devait s’infiltrer dans d’autres OIV de la production énergétique, dans un barrage par exemple, ou dans le domaine pétrolier. Outre les coupures électriques que ces incidents entraîneraient, il existe tout autant un risque humain, selon les problèmes engendrés et le secteur touché.

Ukraine, une finalité ou un terrain d’essai ?

C’est la deuxième fois en six mois que l’Ukraine est impactée par un malware très évolué, capable de provoquer des pannes d’électricité, ou ayant le potentiel de le faire. Benoit Grunenwald nous confirme qu’il existe dans ce pays « une activité cybercriminelle très élevée ».

Une intensité qui recouvre une question : l’Ukraine est-il en tant que tel la cible finale, ou le pays sert-il de terrain d’entrainement pour d’éventuelles cibles plus coriaces ? Selon le responsable d’ESET, il est délicat de répondre à la question. D’un côté, l’Ukraine pourrait effectivement servir de première étape. De l’autre, pourquoi risquer l’exposition de certaines techniques et donc une prise en compte par les sociétés de sécurité ?

Une situation très différente de la France

Le fait qu’un pays puisse être attaqué plusieurs fois en six mois sur des infrastructures vitales pose immanquablement la question de la France : et si l’Hexagone était attaqué de la même manière ? Pour Benoit Grunenwald, le contexte est très différent, à cause d’un travail proactif mené par l’ANSSI. Il n’existe par exemple pas d’initiative équivalente à cybermalveillance.gouv.fr en Ukraine.

Contactée, l’agence nous rappelle qu’elle a mené avec les OIV une réflexion, puis établi des règles de sécurité, évoluant en fonction des secteurs, mais dont beaucoup sont communes. Depuis la Loi de programmation militaire (LPM), il est même devenu obligatoire pour ces opérateurs d’appliquer les règles dans un délai de deux ans à compter de la publication des arrêtés, secteur par secteur. Si les conditions ne sont pas remplies lors d'audits, l'amende peut grimper jusqu'à 150 000 euros pour une personne physique, et 750 000 euros pour une personne morale.

Ainsi, le secteur de la santé, la gestion de l’eau et l’alimentation étaient concernés dès le 1er juillet 2016. Trois mois plus tard, c’était au tour de l’approvisionnement en énergie électrique, en gaz naturel et en hydrocarbures pétroliers, notamment. Depuis huit mois environ, le secteur de l’énergie doit donc appliquer les règles définies. Notez que même hors du cadre strict des OIV, le secteur industriel bénéficie depuis un peu plus de trois ans maintenant de guides de bonnes pratiques.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Similaires et pourtant très différents

Des protocoles vieux de plusieurs décennies

Un malware capable d’entrainer des dégâts matériels

Ukraine, une finalité ou un terrain d’essai ?

Une situation très différente de la France

Commentaires (26)


Mais est-ce que les règles mises en place en France seront suffisantes? J’ai comme un doute.


C’est rigolo, lorsqu’il y a une catastrophe ailleurs, la situation est toujours très différente chez nous. Par exemple, une tour peut bruler à Londre, mais la conception est tellement différente dans notre pays que cela ne pourrait pas arriver. Idem pour les centrales nucléaires bien mieux protégées. On est à la pointe de la technologie (pour autant que se soit encore une bonne chose :-))


Lol.

En France on a l’ANSII, et donc nos PLC Siemens sont protégés…

En plus on a les meilleurs automaticiens du monde, aucun”est un jeune qui sort juste de l’école avec seulement un BEP.








pempem a écrit :



C’est rigolo, lorsqu’il y a une catastrophe ailleurs, la situation est toujours très différente chez nous. Par exemple, une tour peut bruler à Londre, mais la conception est tellement différente dans notre pays que cela ne pourrait pas arriver. Idem pour les centrales nucléaires bien mieux protégées. On est à la pointe de la technologie (pour autant que se soit encore une bonne chose :-))





Je pense que le fait qu’on soit en partie arriéré nous protège. Dans ma boite, on a encore un double réseau (un privé d’un côté et un ouvert sur l’extérieur de l’autre) qui impose pour certaines personnes d’avoir deux ordinateurs afin de conserver l’étanchéité. A un moment (quelques années) il était question de mettre en place des VM sur certains postes du réseau ouvert afin d’accéder au réseau privé. Cette solution a été remise aux calendes grecques <img data-src=" />



C’est toujours le même phénomène qui se reproduit, la règle étant qu’un drame n’est jamais possible. Quand un drame arrive, on cherche alors des solutions au problème pour qu’il ne se reproduise pas.



Des exemples : carrefours dangereux, passages à niveaux ferroviaires, accidents d’avions, accidents de centrales nucléaires, etc.



Un autre phénomène est la désignation d’un responsable qui permet de prendre des décisions de sécurité : dans les entreprises, il y a des exercices incendie (on fait évacuer l’immeuble pour que chacun sache adapter son comportement en cas de véritable incendie). Dans un immeuble d’habitation (je pense aux copropriétés privées), il n’y a pas d’exercice incendie, il n’y a bien souvent pas de maintenance des systèmes incendie.








wanou2 a écrit :



Je pense que le fait qu’on soit en partie arriéré nous protège. Dans ma boite, on a encore un double réseau (un privé d’un côté et un ouvert sur l’extérieur de l’autre) qui impose pour certaines personnes d’avoir deux ordinateurs afin de conserver l’étanchéité. A un moment (quelques années) il était question de mettre en place des VM sur certains postes du réseau ouvert afin d’accéder au réseau privé. Cette solution a été remise aux calendes grecques <img data-src=" />







sinon on a inventé les vlans









joma74fr a écrit :



Dans un immeuble d’habitation (je pense aux copropriétés privées), il n’y a pas d’exercice incendie, il n’y a bien souvent pas de maintenance des systèmes incendie.





je t’ai raconté les gens qui débranchent leur alarme incendie pour cuire un truc /fumer en intérieur/whatever ?



Eh ben je ne sais pas qui sont les électriciens qui ont branché ça, mais ça a rendu inopérant tout le système anti-incendie du bâtiment.&nbsp;<img data-src=" />



Tu sais, je travaille dans une bourse de l’énergie et hier encore je discutais avec un ingé réseau et il me disais que la solution d’avoir un wifi guest totalement séparé du lan était une assurance absolue de non intrusion.

Je lui disais que puisque nous allons mettre en place du wifi LAN sur un de nos prochains étage il était plus qu’approprié de n’avoir qu’une infra wifi mais qui émets deux SSID. Un light et un deuxième plutôt blindé.

Il essayait de me convaincre qu’un pirate pouvait passer du wifi guest au lan s’il était assez fort et que ça justifiait deux infra wifi distinctes, donc 2x plus d’argent dépensé. Sans parler de la psychose d’un hacker à la Die Hard 4(qui hack le monde avec une clé usb), il faut avouer que ce genre d’attaque sont préparées sur de long mois et qu’ils visent surtout l’erreur humaine pour entrer dans le SI. Du coup, l’étanchéité des réseaux physiques ne garantit pas le zéro risque.


News à troll ,juste pour une feature ex-URSS <img data-src=" />


Les detecteurs sont, le plus souvent, monté en série. Le truc c’est de faire une boucle évidemment.

Celà dit, ce n’est pas normal de débrancher un détecteur du coup la station est sensé se mettre en alarme (tableau d’affichage) pour prévenir de la défaillance.



Maintenant normalement on fait des zones pour éviter que toute la surveillance d’un bâtiment tombe d’un coup <img data-src=" />








swiper a écrit :



Tu sais, je travaille dans une bourse de l’énergie et hier encore je discutais avec un ingé réseau et il me disais que la solution d’avoir un wifi guest totalement séparé du lan était une assurance absolue de non intrusion.

Je lui disais que puisque nous allons mettre en place du wifi LAN sur un de nos prochains étage il était plus qu’approprié de n’avoir qu’une infra wifi mais qui émets deux SSID. Un light et un deuxième plutôt blindé.

Il essayait de me convaincre qu’un pirate pouvait passer du wifi guest au lan s’il était assez fort et que ça justifiait deux infra wifi distinctes, donc 2x plus d’argent dépensé. Sans parler de la psychose d’un hacker à la Die Hard 4(qui hack le monde avec une clé usb), il faut avouer que ce genre d’attaque sont préparées sur de long mois et qu’ils visent surtout l’erreur humaine pour entrer dans le SI. Du coup, l’étanchéité des réseaux physiques ne garantit pas le zéro risque.







séparé y compris au niveau des bornes ?



ils ne sont pas convaincus… après c’est des gens intelligent je leur fais confiance ;)








wanou2 a écrit :



ils ne sont pas convaincus… après c’est des gens intelligent je leur fais confiance ;)







ou alors c’est comme dans pas mal de boite pas très importantes en tailles, le mec qui gère l’info à mis un système en place il y a x années, et il ne le fait pas évolué parce qu’il ne sait pas mais dit que c’est pour des raisons de sécurité.









darkbeast a écrit :



ou alors c’est comme dans pas mal de boite pas très importantes en tailles, le mec qui gère l’info à mis un système en place il y a x années, et il ne le fait pas évolué parce qu’il ne sait pas mais dit que c’est pour des raisons de sécurité.





15.000 salariés <img data-src=" />









wanou2 a écrit :



15.000 salariés <img data-src=" />







ha ouais, pas grave en fait c’est juste qu’avec le temps ça va devenir de plus en plus cher de gérer 2 réseaux



Et il a totalement raison.



Dans le cas qui nous intéresse, pour les systèmes industriels, les architectures sécurisées et les normes en vigueur dans le domaine (IEC 62443) imposent des réseaux séparés protégés en coupure par un firewall, une définition de zones ayant des niveaux de sécurité différent, des contrôle de flux entre ces zones, ce genre de joyeusetés.



Comme d’habitude dans les commentaires NXi, il y a toujours des gens qui ont des solutions magiques à des problèmes complexes.



Je penserais à dire aux gens de la sécurité industrielle de Schneider qu’un VLAN c’est bien suffisant, qu’il y a pas besoin de ségmenter les réseaux.



Des architectures pas trop crades pour l’ICs, ça ressemble à ça :https://ics-cert.us-cert.gov/Secure-Architecture-Design



Cisco et Rockwell utilisent plutôt ce genre de trucs :http://www.industrial-ip.org/~/media/WLANArchitecture.ashx



Bref.


Super, enfin un outil de test multi-protocole, ça va me faciliter la vie.

Mais bon en milieu industriel les mises à jour ne sont pas prêtes d’arriver….

&nbsp;








tpeg5stan a écrit :



je t’ai raconté les gens qui débranchent leur alarme incendie pour cuire un truc /fumer en intérieur/whatever ?



Eh ben je ne sais pas qui sont les électriciens qui ont branché ça, mais ça a rendu inopérant tout le système anti-incendie du bâtiment.&nbsp;<img data-src=" />



Sans dec ? Je fume chez moi (en hiver c’est pas loin de faire aqua style coin fumeur des boîtes de nuit), j’ai jamais réussi à le faire sonner !&nbsp;





wanou2 a écrit :



Je pense que le fait qu’on soit en partie arriéré nous protège. Dans ma boite, on a encore un double réseau (un privé d’un côté et un ouvert sur l’extérieur de l’autre) qui impose pour certaines personnes d’avoir deux ordinateurs afin de conserver l’étanchéité. A un moment (quelques années) il était question de mettre en place des VM sur certains postes du réseau ouvert afin d’accéder au réseau privé. Cette solution a été remise aux calendes grecques <img data-src=" />



Dans un producteur d’énergie Français (pour ne pas le citer), il n’est pas possible de lire ses mails à partir d’un réseau sécurisé. &nbsp;Il y a plusieurs réseau (par exemple surveillance, commandement, production) qui ne peuvent communiquer entre eux que par des passerelles très protégées, autant sur la sécurité que la continuité de service. Dès le premier niveau, il faut passer par des protections style VPN / VM à partir de PC explicitement autorisés. Alors comme tout réseau informatique, c’et pas infaillible, mais franchement pour arriver jusqu’au niveau le plus sensible sans s’être fait repéré, va falloir se lever tôt ! Je pense pas qu’un fishing ciblé permettent de passer ce niveau de protection, mais bon il restera toujours le risque d’un employé corrompu pour bypasser les premiers niveaux de sécurité, style Bureau des légendes&nbsp;<img data-src=" />



Sinon le principe d’endommager le matériel est vraiment pas mal, dans le cas de VM ça doit vraiment rallonger la durée d’une attaque.&nbsp;



Ce qui m’étonne c’est la cohabitation entre du Windows et un système industriel à risques.

C’est un peu comme implanter une usine d’allumettes au milieu d’un entrepôt pétrolier.


La plupart des logiciels (IHM notamment) et des drivers pour communiquer avec les automates ne sont pas portés sur d’autres plate-formes, ceci explique cela.



Après, des postes Windows ne présentent pas forcément plus de risques si ils sont bien managés (au niveau des mises à jour, par exemple), que la GPO en place est bien pensée, et qu’on met en place les contre-mesures adéquates au niveau réseau (filtrage de la télémétrie, interdiction de la navigation web sur les postes sensibles, etc).



Microsoft a considérablement investi dans la sécurité et implémente (dans Windows 10 tout du moins) un nombre assez important de contre-mesures dans le noyau que le noyau Linux ne possède pas (le projet KSPP est censé répondre à ce besoin, sauf qu’à part copier/coller le code Grsec, ben…). Exemple, la plupart des DLL sensibles et des modules du noyau Windows sont compilés avec l’ASLR, le CFG (Control Flow Guard), ça n’a plus rien à voir avec le noyau NT d’XP. Edge bénéficie d’ailleurs de ces mêmes protection, et est revenu en un temps record au niveau de Chrome à ce sujet (reste Firefox qui se traîne, mais ça devrait évoluer plus vite maintenant qu’ils découpent mieux leurs processus avec Electrolysis)


Pour le détecteur ça doit dépendre.

A l’époque ou j’étais en foyer de jeune travailler, un “$$$” fumait dans sa chambre.

On a du évacuer plusieurs fois la nuit à pas d’heure à cause de ça…



Je pense que ça doit dépendre des détecteurs.








Northernlights a écrit :



Ce qui m’étonne c’est la cohabitation entre du Windows et un système industriel à risques.

C’est un peu comme implanter une usine d’allumettes au milieu d’un entrepôt pétrolier.





Eh bien tu serais surpris.

Beaucoup de machines sont operees directement PAR un système windows. Ie tu as un windows dans le HMI









darkbeast a écrit :



ha ouais, pas grave en fait c’est juste qu’avec le temps ça va devenir de plus en plus cher de gérer 2 réseaux





Il y a 2 réseaux pour toutes les implantations plus des réseaux internes à chaque implantation, plus des réseaux privé pour certains activités transversales à certains sites, sans compter le reste…

&nbsp;

C’est un sacré bordel dixit des potes qui travaillent dans les fils parce que la gestion logiciel c’est une chose mais la gestion logistique de tout ces réseaux c’est pénible surtout dans des bâtiments classés centenaire ou multi-centenaire.



tes potes ont toute ma compassion :$


Oui, d’où le deux infra wifi différente.

J’essaie de comprendre très fort sa manière de voir mais je n’arrive vraiment pas à être d’accord.








WereWindle a écrit :



tes potes ont toute ma compassion :$





Lors de déménagement de services j’ai déjà vu des câbles passer d’une fenêtre à une autre&nbsp;<img data-src=" />