Eset: Industroyer, la plus grande menace pour les systèmes SCADA

 Communication corporate : ESET   12 juin 2017

 

 

 

Industroyer, la plus grande menace pour

             les systèmes SCADA

 

 

 

Industroyer est un logiciel malveillant sophistiqué et extrêmement dangereux

conçu pour perturber les processus des infrastructures critiques.

 

 

 

ESET®, qui est à l’origine de cette découverte, a analysé des échantillons de ce malware

(détecté par ESET sous le nom Win32/Industroyer). Industroyer apparaît comme

potentiellement capable d’attaquer l'alimentation électrique d’une infrastructure de

fournisseur d’énergie.

 

« La capacité d’Industroyer à persister dans le système et à interférer directement

avec le fonctionnement du matériel industriel en fait l'une des menaces les plus

dangereuses pour les systèmes de contrôle industriels. Depuis Stuxnet qui a attaqué

avec succès le programme nucléaire iranien en 2010, aucun autre malware n’était

arrivé à ce niveau technique, » prévient Anton Cherepanov, Senior Malware Researcher

chez ESET.

 

Ce malware serait probablement impliqué dans l'attaque BlackEnergy de décembre 2016,

qui avait privé d’électricité une partie de la capitale ukrainienne durant une heure.

« La récente attaque sur le réseau électrique ukrainien doit servir d’avertissement

sérieux pour tous les responsables de sécurité des systèmes critiques, et ce à

l’échelle mondiale, » conclut Anton Cherepanov.

Selon les chercheurs ESET, Industroyer prend le contrôle d’interrupteurs et de

disjoncteurs électriques. Pour y parvenir, il se sert des protocoles de communication

industriels utilisés dans le monde entier par les infrastructures d'alimentation électrique,

les systèmes de contrôle du transport et d'autres infrastructures ou architectures

de type SCADA. Potentiellement,cette attaque peut désactiver la distribution

d’électricité, déclencher des pannes et même causer des préjudices

importants aux équipements.

 

 

 

 

 plus de détails techniques sur le malware Industroyer: cliquer ici.

ESET a également rédigé un livre blanc sur les systèmes SCADA, consultable ici.

 

 

 

Commentaires :  Cyberisques News

 

On ne peut comprendre Industroyer sans faire référence à Stuxnet et plus encore Black Energy

 

Si Stuxnet, le malware hyper sophistiqué, avait demandé plusieurs années de travail, il avait été pensé en 2010 dans un contexte de "cyber guerre" pour retarder le développement du programme nuclaire civil iranien. Ce n'était déjà plus le cas avec le process malware Black Energy. Ce dernier en janvier 2016 via des codes connus largement diffusés (Kill Disk par exemple) avait - déjà - effacé et reformaté certains serveurs industriels d'opérateurs d'énergie électrique en Ukraine (cf https://dragos.com/blog/crashoverride/CrashOverride-01.pdf ) Re belotte avec Industroyer. "l(histoire ne se répète pas elle bégaie" écrivait Michelet. C'est aussi vrai pour les malwares "industriels". 

Pour Benoit Grunemwald chez ESET France, éditeur à l'origine de la découverte de Industroyer, "pas de clients français ont été touchés mais ce malware sait voyager car il est en plus paramétrable en fonction des sites ciblés et des matériels présents comme ceux de Siemens dans ce cas". Dans une déclaration officielle, les chercheurs d'Eset ont rappelé le niveau d'impact du code: "Industroyer est une réelle cybermenace dans la mesure ou le code peut permettre de prendre le controle d'un poste électrique

Toute ressemblance avec le fameux Stuxnet reste a écarter même si précise Benoit Grunemwald:  "Pour développer et maintenir ce type de malware il faut des connaissances tres approfondies que possédent les équipes d'ESET dans les labos pour trois raisons: historiquement l'éditeur basé en Slovaquie est "géographiquement" au coeur des zones impactées par Industroyer (et BlackEnergy). Autre motif: les chercheurs d'Eset ont beaucoup travaillé sur les malwares industriels de par cette proximité et troisieme raison, les équipes se sont spécialisées sur des APT difficilement identifiables par du filtrage endpoint standard." Bref, ce code particulièrement sophistiqué selon les premières informations des labos d'Eset sait exploiter les vulnérabilités souvent connues mais pas toujours "corrigées" (patchées) sur les SI industriels. 

 "Cette attaque ne fait qu'affirmer les craintes des professionnels: les cybercriminels sont de plus en plus puissants et les cyberattaques vont être de plus en plus nombreuses en 2016 " affirme dans un communiqué l'état major d'ESET. Et maintenant ?

Les opérations d'attribution (recherche des auteurs) sont en cours et ils est trop tôt pour citer le nom du groupe d'attaquants. Les attaques sur les SI Scada reflétent également une inquiétude réelle du coté de l'ANSSI (lire l'entretien de son directeur Guillaume Poupard: http://cyberisques.com/fr/mots-cles-5/554-guillaume-poupard-directeur-general-de-l-agence-nationale-de-la-securite-des-systemes-d-information-anssi-il-faut-normaliser-le-risque-cyber )

Reste les indices pour les experts du "forensic" chez Eset : « il est fort probable qu’Industroyer a été utilisé lors de l’attaque contre le réseau électrique ukrainien en décembre 2016. Au-delà du fait qu’il possède les caractéristiques techniques nécessaires pour mener ce type d’attaque, on peut noter le fait que sa date d’activation coïncide avec le jour où la panne s’est produite sur le réseau ukrainien ». Rappelons également que ce type de malware "générationnel" connait de nombreuses variantes qui rendent plus complexes les opérations de "détections" et de "nettoyages". BlackEnergy 2 est apparu quelques mois apres le 1. 

@jpbichard

 

 

 

BONUS:

 https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

 http://w3.siemens.com/smartgrid/global/en/products-systems-solutions/protection/pages/overview.aspx

https://www.wsj.com/articles/cyber-experts-identify

-malware-that-could-disrupt-u-s-power-grid-1497271444

 

 

 http://cyberisques.com/fr/mots-cles-17/465-rechercher-et-connaitre-des-vulnerabilites-0-days-pour-s-en-proteger-ou-pour-les-exploiter

 

barrage

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires