Industroyer: le malware industriel professionnel

© Pieter Van Nuffel
Els Bellens

Fin de l’année dernière, une centrale électrique ukrainienne fit l’objet d’une cyber-attaque qui la paralysa une heure durant. Ce n’est pas là le premier exemple d’un maliciel ayant provoqué une interruption de l’alimentation en courant, mais l’une des premières formes de cyber-arme conçues spécifiquement pour s’attaquer à des systèmes industriels.

En décembre 2016, Kiev fut plongée dans le noir. En soi, ce n’était pas complètement bizarre dans la mesure où cela est devenu quasiment une tradition de Noël pour ce pays qui, bien que certains éléments n’aient jamais pu être vraiment démontrés, a assez souvent déjà eu maille à partir avec des attaques ciblées d’autres états. En effet, un an auparavant en 2015, un autre malware appelé Blackenergy y avait déjà paralysé des centrales énergétiques. Cette fois, le coupable était un maliciel baptisé Industroyer.

Le premier malware industriel

“Les agresseurs ont réussi à trouver comme porte dérobée une application créée sur mesure par la société énergétique ukrainienne”, voilà comment Robert Lipovsky de l’entreprise de sécurité ESET débute son témoignage. Il est l’un des enquêteurs qui ont progressivement pu démontrer comment l’attaque s’était déroulée. “Ce maliciel stocke des historiques, des données télémétriques, etc., mais il les enregistre dans une base de données MS SQL, et les identifiants pour cette base de données sont encodés de manière fixe dans l’appli. Ce faisant, les agresseurs ont pu utiliser la base de données elle-même pour expédier leurs commandes et stocker leurs fichiers binaires mal intentionnés. Tout semblait donc normal”, explique Lipovsky.

De plus, en tant que bons utilisateurs IT, les agresseurs avaient prévu un backup: une seconde porte dérobée dans l’appli, qui se présentait comme une application Notepad. Toutes deux devaient surtout veiller à ce que le logiciel d’attaque proprement dit, la charge utile (‘payload’), entre en action au bon moment.

Et selon les enquêteurs de la firme de sécurité ESET, la ‘payload’ serait le premier cas réel de malware industriel spécialisé. Dans ce sens, il fait quelque peu penser à Stuxnet, la cyber-arme qui avait endommagé le programme atomique de l’Iran. Cette fois cependant, le soin avec lequel le malware a été conçu, témoigne d’une connaissance approfondie des systèmes. “Les agresseurs ont utilisé quatre charges utiles différentes, chacune avec un protocole individuel, de sorte que si l’un était rejeté, un autre pouvait passer”, affirme Anton Cherepanov, chercheur d’ESET. Le but final consistait dans un premier temps à interrompre toute communication avec le vérificateur à partir de la chambre de contrôle proprement dite. Ensuite, les coupe-circuit furent rapidement ouverts, puis fermés. “Le principal objectif”, indique Robert Lipovsky, “était de désactiver les sous-stations. Mais il est possible de provoquer un black-out avec un maliciel nettement moins complexe (tel Blackenergy). La différence réside dans la vitesse d’ouverture et de fermeture des coupe-circuit. Nous croyons que les agresseurs espéraient qu’ils allaient griller d’eux-mêmes et ainsi peut-être causer davantage de dégâts permanents.”

Le malware final, selon Lipovsky, était un pack qui semblait conçu pour faire durer le blackout aussi longtemps que possible. “Il contenait un élément déni de service (‘denial of service‘), de sorte que quelqu’un devait se rendre physiquement dans les sous-stations pour redémarrer les serveurs. Ainsi qu’un destructeur de données (‘data wiper‘) pour détruire le Windows Registry, afin qu’on ne puisse pas redémarrer facilement les machines en vue de contrer l’attaque. Cela a dû être une situation embarrassante, et il est donc étonnant que les Ukrainiens aient pu réparer en grande partie les dommages en l’espace d’une heure.”

Recyclage

En tant que kit ou cyber-arme, Industroyer est étonnant, mais il est aussi en grande partie le résultat d’un travail artisanal. Doit-on pour autant se faire du souci? Comme c’est souvent le cas de la part de chercheurs en sécurité, la réponse d’Anton Cherepanov est un ‘oui’ radical: “Le problème, c’est que ces protocoles ont été conçus il y a des dizaines d’années, bien longtemps avant que les systèmes industriels soient connectés au reste du monde.” Les protocoles de communication qui ont commandé les coupe-circuit n’ont donc pas été conçus dans une optique sécuritaire. “Cela signifie que les agresseurs n’ont pas dû rechercher des failles dans les protocoles, mais simplement apprendre au malware à ‘dialoguer’ avec ces protocoles”, déclare Cherepanov. Et comme cela a marché, le logiciel peut désormais être assez aisément transposé à d’autres infrastructures critiques.

Demain: le ‘killswitch’ de WannaCry qui n’était absolument pas un killswitch (bouton d’arrêt d’urgence).

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire