Systemes ICS / SCADA: en 2016 toujours pas assez étanches

Systemes industriels: pas assez d'étanchéité avec les systemes de gestion

 

En 2014, une cyber-attaques sur des hauts fourneaux en Allemagne a été effectuée via une prise de controle du systeme "commande" et du système "sureté". Le BSI équivalent de l'ANSSI en Allemangne indiquait que le haut fourneau a été attaqué et mis hors de contrôle. L'autorité déplore plusieurs dizaines de millions de dommages suite a des destructions importantes de pièces stratégiques.

Le 1er janvier 2016, une nouvelle cyber-attaque de même type a été officiellement annoncée sur le blog du SANS ( https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered). L'attaque date de fin décembre selon certaines sources ukrainiennes.

 

Cyberisques-NEWS-SecMatter-2015

 

 

 

Les éditeurs IT se sont a leur tour penchés sur cette nouvelle cyber-menaces visant les systemes industriels de type ICS / SCADA. Rappelons que le terme SCADA est un abus de langage. Il faudrait plutôt parler d’ICS (Industrial Control System) et de non de SCADA comme terme générique, les SCADA n’étant qu’un sous-ensemble des ICS. Les ICS permettent les activités de production temps réel et de distribution. Ils concernent notamment bon nombre d’opérateurs d’infrastructures vitales. Leur probleme Numéro un comme le rappelle la jeune start up Sentryo c'est que les outils industriels n'ont jamais été conçus pour offrir une compatibilité avec les solution "bureautiques" dédiées à la sécurité des réseaux.

C'est donc toute une nouvelle offre qui doit se mettre en place pour sécuriser les réseaux et équipements ICS dès lors qu'ils sont connectés à Internet via le réseau de gestion.

Problème: on ne bloque pas la production car les notions de performance et de disponibilité sont prioritaires. Reste qu'en 2016, de plus en plus de SI industriels sont interconnectés avec les SI "bureautiques" sans réellement de filtrage de haut niveau.

Cette absence d'étanchéité explique leur vulnérabilité. Autrement dit, comment des malwares développés pour des cyber-attaques de SI traditionnels "bureautiques"  sont "rewrités" et bricolés pour pour s'infiltrer sur les postes de commandes des automates de commandes industrielles. Des postes faut-il le rappeler souvent sous Windows et pas toujours sécurisés. Trend Micro propose même une clé USB pour ces postes de commandes pour automates afin de détecteur de potentiels malwares... Cette approche en dit long sur l absence de dialogue entre automaticiens et informaticiens. 

 

10 milliards de dollars de pertes estimées 

D'ici 2019, le cabinet Gartner estime à près de 10 milliards les pertes potentielles qui pourraient êtres attribuées aux conséquences des cyber-attaques sur les systèmes industriels. Une estimation partagée par de nombreux experts dont les "cyber-assureurs" qui toutefois n'offrent pas encore de "garanties" spéciques dédiées à ces nouveau cyber-risques. Reste les problèmes techniques à commencer par l'absence de filtrage efficace entre SI bureautiques et SI industriels.   

 

 Scada-CheckPoint-Solutions-2015

Source checkPoint 2015

 

C'est cette absence de solutions de filtrage qui apparait comme la cause principale des dernières attaques ICS / Scada dont celle du dernier scénario connu officiellement, celui de la récente attaque en Ukraine. C'est un « OIV ukrainien » un opérateur d'énergie électrique qui semble avoir été ciblé via le malware Disakil (avec sa variante KillDisk adaptée aux environnements "industriels").

Dès le 23 décembre, les chercheurs d'ESET ont tiré la sonnette d'alarme en expliquant que des organisations locales auraient aussi été infectées par une variante du malware Disakil nommée KillDisk ( http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/ )

Chez F5,  Tewfik Megherbi, consultant avant-vente assure que "dans le cas des centrales électriques Ukrainienne, le cheval de Troie BlackEnergy a ciblé et exploité des postes de travail des opérateurs, donc « légitimes », en utilisant des vulnérabilités connues comme vecteurs d’attaques. Une fois installé sur le poste de l’opérateur, BlackEnergy a eu le champ libre pour intercepter les crédentiels (couples nom d’utilisateurs / mots de passes) utilisés par les opérateurs en charge des systèmes SCADA". 

Les chercheurs de Symantec ont publié le 6 janvier 2016 un post sur le blog de la société, suite à l’analyse d’un échantillon de Disakil (version KillDisk). Pour eux, ce serait bien KillDisk qui parait avoir été utilisé dans les attaques contre les installations électriques ukrainiennes.

 

Cyberisques-NEWS-SCADA-Sentryo-1

Source Sentryo 2015

 

Symantec a entre autres mis en avant que :

-          Disakil / KillDisk a déjà été utilisé pour cibler des médias en Ukraine, et a notamment détruit plusieurs ordinateurs d’une société de médias importante du pays ;

-          Le mode de contamination semble avoir pour origine une nouvelle variante du cheval de Troie BlackEnergy, qui a compromis des serveurs et permis aux attaquants de voler des identifiants afin d’installer Disakil / KillDisk sur plusieurs autres systemes ;

-          Le groupe derrière ce cheval de Troie est connu sous le nom de Sandworm et n’en est pas à sa première attaque en Ukraine. Il est également connu pour avoir attaqué l’OTAN, un certain nombre de pays d’Europe occidentale et des sociétés du secteur de l’énergie.

Pour Intel security (ex Mac Afee), l'une des questions c'est la partie du poste de travail qui supervise les automates qui doit être sécurisée avec le controle applicatif. Les régulations poussent a uine prise de conscience  initiée au niveau de l ANSSI et au niveau de la Commission européenne. Le probleme c'est la solution technique derrière l'initiative politique. Chez Intel security (ex McAfee) nous travaillons sur les  aspects fédérateurs en termes de standards via des protocoles de sécurité comme avec VMWare et notre bus de sécurité standard. Ces standards peuvent s'ouvrir  à des acteurs des marchés ICS / SCADA.   

Pour Loic Guezio de Trend Micro, peu de commentaires: Trend Micro travaille sur un échantillon malware, avec le SANS-ISC:  https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered

 

 

Rappelons qu'en mars 2014, c'était un groupe de cyber-délinquants ukrainiens appelé les « Cyber Berkut » qui avait revendiqué des cyber-attaques via laa technique Ddos sur plusieurs sites de l Otan. A cette époque, cette action était présentée au nom de «  patriotes ukrainiens », indiquant « ne pas tolérer que les troupes de l'OTAN » puissent « occuper la patrie »ukrainienne.

 

ECO-SYSTEM-SCHNEIDER

 

En France, récemment, les autorités étaient informées des risques encourus sur les systemes industriels sensibles (http://cyberisques.com/fr/mots-cles-12/468-ceis-cyberlab-entretien-croise) à  l'occasion d'actions multiples notamment menées par l'ANSSI et les organisateurs du FIC.

Pour CEIS, co-organisateur du FIC l'une des problématiques de l'absence de sécurité des SI industriels et critiques provient des problématiques et des contraintes métier spécifiques. Ce n’est pas pour rien que l’ANSSI a constitué un groupe de travail uniquement dédié au sujet. Parmi les principaux problèmes on pourrait lister des systèmes d’exploitation obsolètes soit non-supportés (Windows XP est encore très fréquent) ou non patchés, des protocoles (Modbus et DNP3 par exemple) qui ne supportent pas l’authentification et le chiffrement ou une tolérance très faible voire inexistante à l’arrêt/panne car entraînant des conséquences métiers directes très fortes.

Face à la multiplication des attaques sur des sites industriels équipés en environnement ICS, 2016 apparait d'ores et déjà comme une année critique pour ces sites sensibles. Sera t elle l'année de la sécurité ICS ? "Oui répond cet expert reconnu, Laurent Hausermann de Sentryo à condition que deux populations les informaticiens et les automaticiens se parlent enfin". 

Paradoxe de la sécurité sous ICS / Scada les réseaux bureautiques et industriels se parlent trop alors que les hommes qui les surveillent s'ignorent encore trop souvent ! 

Jean Philippe Bichard

 

@jpbichard

 

BONUS :

http://ics.sans.org/blog/2015/12/30/current-reporting-on-the-cyber-attack-in-ukraine-resulting-in-power-outage

https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered?utm_content=buffer72f34&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-281-01B

Cyberisques-NEWS-Attaque-SCADA-Ukraine-6-janvier-2016

http://www.secmatters.com/sites/www.secmatters.com/files/documents/SilentDefense_datasheet_EU.pdf

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires