Les agences gouvernementales américaines avertissent que des pirates informatiques soutenus par l’État ont développé des logiciels malveillants personnalisés qui leur permettent de compromettre et de détourner des dispositifs de système de contrôle industriel (ICS) couramment utilisés.
L’avis, publié conjointement par la Cybersecurity and Infrastructure Security Agency (CISA), le FBI, la NSA et le ministère de l’Énergie, avertit que les acteurs de la menace ont développé une boîte à outils personnalisée qui leur permet de rechercher, de compromettre et de contrôler les appareils ICS une fois ils sont connectés au réseau de technologie opérationnelle (OT). Les outils sont spécifiquement conçus pour cibler les contrôleurs logiques programmables (PLC) fabriqués par Schneider Electric et Omron, dont aucun n’a renvoyé notre demande de commentaire.
Les pirates ont également des logiciels malveillants qui exploitent un exploit pour cibler les systèmes Windows avec des cartes mères ASRock pour exécuter du code malveillant et se déplacer latéralement vers et perturber les environnements informatiques ou OT.
“En compromettant et en maintenant un accès complet au système aux appareils ICS/SCADA, les acteurs APT pourraient élever les privilèges, se déplacer latéralement dans un environnement OT et perturber les appareils ou fonctions critiques”, prévient l’avis.
Bien que les agences fédérales n’aient partagé aucune information supplémentaire sur les outils de piratage et les logiciels malveillants mentionnés dans l’avis, la société de renseignement de sécurité Mandiant a déclaré qu’elle analysait les outils d’attaque orientés ICS, qu’elle a nommé Incontroller, depuis début 2022.
“Incontroller représente une capacité de cyberattaque exceptionnellement rare et dangereuse”, a écrit Mandiant dans son analyse de la menace, ajoutant qu’elle est comparable à Triton, Student et Industroyer.
Ce dernier a été utilisé par le groupe russe Sandworm APT pour couper l’électricité en Ukraine en 2016, ce qui a laissé des centaines de milliers de clients sans électricité deux jours avant Noël. Une variante modifiée, baptisée “Industroyer2”, a récemment été déployée par les mêmes attaquants dans le but de faire tomber un fournisseur d’énergie ukrainien, mais l’effort a été interrompu avec succès par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA).
Mandiant a ajouté qu’Incontroller – qui, selon lui, pourrait être utilisé pour arrêter des machines critiques, saboter des processus industriels et désactiver des contrôleurs de sécurité – est “très susceptible” d’être parrainé par l’État compte tenu de sa complexité et de son “utilité limitée dans les opérations à motivation financière”. La société de cybersécurité a déclaré qu’elle ne pouvait pas connecter le logiciel malveillant à un groupe connu, mais a déclaré que son activité était “conforme à l’intérêt historique de la Russie pour ICS”.
La startup de cybersécurité industrielle Dragos a également suivi la boîte à outils sous le nom de “Pipedream”, qui, selon elle, a été créée par un groupe de menaces soutenu par l’État appelé Chernovite qui a développé le logiciel malveillant afin de mener des “opérations perturbatrices ou destructrices contre ICS”.
Robert Lee, PDG et co-fondateur de Dragos, a déclaré que si les contrôleurs ciblés sont communs à une variété d’industries, les chercheurs pensaient que les cibles visées par les pirates étaient le gaz naturel liquéfié et les installations électriques. Cependant, il a ajouté qu’à ce jour, le logiciel malveillant n’a pas été utilisé dans les réseaux cibles.
“Cela offre aux défenseurs une opportunité unique de se défendre avant les attaques”, a déclaré Lee à TechCrunch, ajoutant que Pipedream n’est que le septième malware spécifique à ICS jamais connu du public.
Les agences gouvernementales américaines ont exhorté les organisations d’infrastructures critiques, en particulier celles impliquées dans l’énergie, à prendre des mesures telles que l’authentification multifacteur et des changements de mots de passe cohérents pour protéger leurs systèmes de contrôle.