Africa teaching

INDUSTROYER : ANATOMIE DU MALWARE QUI CIBLE LES RÉSEAUX ÉLECTRIQUES

image.jpg

 

 

Industroyer : anatomie du malware qui cible les réseaux électriques

 

Mis au jour par Eset, Industroyer est un malware spécifiquement conçu pour perturber le fonctionnement des réseaux électriques. Et son caractère modulaire en fait une menace redoutable pour tous les Scada.

Un malware spécifiquement pensé pour les équipements des réseaux électriques. Mis au jour par Eset, la souche Industroyer montre sans ambiguïté que des assaillants écrivent des logiciels malveillants dédiés à des équipements très particuliers déployés dans l’industrie. Avec, pour objectif de mener des cyberattaques ayant des effets tout à fait concrets. Dans le cas d’Industroyer, il s’agit de provoquer des pannes d’électricité en ciblant des équipements déployés dans les stations de distribution (relais et coupe-circuits). « La dangerosité d’Industroyer provient du fait qu’il utilise des protocoles de la façon dont ils ont été designés », écrit Eset.

La souche n’est que le quatrième malware connu dans l’histoire à viser spécifiquement des Scada (après Stuxnet, BlackEnergy et DragonFly/Havex) et le second à avoir pour objectif de perturber le fonctionnement physique des systèmes. Stuxnet, qui avait significativement ralenti le programme nucléaire iranien en s’attaquant aux centrifugeuses à uranium, étant en la matière le précurseur.

Pas besoin de chercher des failles

Avec Industroyer, les assaillants exploitent le décalage entre des protocoles mis au point voici des décennies, dans un monde où les systèmes industriels étaient déconnectés, et la réalité des entreprises aujourd’hui, où nombre de Scada sont reliés à des réseaux informatiques eux-mêmes connectés à Internet. « Cela signifie que les assaillants n’ont pas eu à chercher des vulnérabilités dans les protocoles ; tout ce qu’ils ont eu à faire est d’apprendre à leur malware à ‘parler’ dans ces langages », écrit Eset. Une technique déjà employée par Dragonfly, un des autres rares malwares conçus pour s’attaquer à des systèmes industriels, mais à des fins d’espionnage.

Industroyer

En dehors de ses 4 modules ciblant autant de protocoles spécifiques (IEC 60870-5-101IEC 60870-5-104IEC 61850 et OLE for Process Control Data Access), Industroyer s’apparente à un malware modulaire évolué. D’après les descriptions qu’en fait Eset dans un livre blanc, le composant cœur de ce malware Windows est une backdoor que les assaillants emploient pour gérer leur attaque : installation de nouveaux composants, lien avec les serveurs de commande et de contrôle… Cette backdoor principale opère comme un service Windows . « Le malware renferme quelques autres fonctionnalités conçues pour lui permettre de rester sous le radar, assurer la persistance de la souche sur les systèmes infectés et effacer toute trace une fois le travail effectué », précise Eset. Par exemple, les communications entre Industroyer et ses serveurs de commande et contrôle sont masquées dans des connexions Tor. Et les assaillants implantent une seconde backdoor – une version infectée de l’application NotePad – pour regagner l’accès au système compromis si leur backdoor principale est découverte et désactivée. Selon Eset, Industroyer renferme aussi un module permettant de lancer des attaques par déni de service contre des équipements Siemens (la gamme Siprotec, des relais de protection utilisés dans les stations de distribution de l’électricité), en exploitant une faille connue sur ces systèmes (CVE-2015-5374).
Silicon.fr


14/06/2017
0 Poster un commentaire

A découvrir aussi


Inscrivez-vous au blog

Soyez prévenu par email des prochaines mises à jour

Rejoignez les 127 autres membres