cravetiger | Getty Images
Les logiciels malveillants conçus pour cibler les systèmes de contrôle industriels tels que les réseaux électriques, les usines, les services d’eau et les raffineries de pétrole représentent une espèce rare de méchanceté numérique. Ainsi, lorsque le gouvernement des États-Unis met en garde contre un morceau de code conçu pour cibler non seulement l’une de ces industries, mais potentiellement toutes, les propriétaires d’infrastructures critiques du monde entier devraient en tenir compte.
Mercredi, le ministère de l’Énergie, la Cybersecurity and Infrastructure Security Agency, la NSA et le FBI ont publié conjointement un avis sur un nouvel ensemble d’outils de piratage potentiellement capable de se mêler d’une large gamme d’équipements de systèmes de contrôle industriels. Plus que toute autre boîte à outils de piratage de système de contrôle industriel, le logiciel malveillant contient un ensemble de composants conçus pour perturber ou prendre le contrôle du fonctionnement des appareils, y compris les contrôleurs logiques programmables (PLC) qui sont vendus par Schneider Electric et OMRON et sont conçus pour servir de l’interface entre les calculateurs traditionnels et les actionneurs et capteurs en milieu industriel. Un autre composant du logiciel malveillant est conçu pour cibler les serveurs OPC UA (Open Platform Communications Unified Architecture), les ordinateurs qui communiquent avec ces contrôleurs.
“Il s’agit de l’outil d’attaque de système de contrôle industriel le plus étendu que quiconque ait jamais documenté”, déclare Sergio Caltagirone, vice-président du renseignement sur les menaces de la société de cybersécurité à vocation industrielle Dragos, qui a contribué à la recherche de l’avis et publié son propre rapport sur le malware. . Des chercheurs de Mandiant, Palo Alto Networks, Microsoft et Schneider Electric ont également contribué à l’avis. “C’est comme un couteau suisse avec un grand nombre de pièces.”
Publicité
Dragos affirme que le logiciel malveillant a la capacité de détourner les appareils cibles, de perturber ou d’empêcher les opérateurs d’y accéder, de les bloquer de manière permanente ou même de les utiliser comme point d’ancrage pour permettre aux pirates d’accéder à d’autres parties d’un réseau de système de contrôle industriel. Il note que si la boîte à outils, que Dragos appelle « Pipedream », semble cibler spécifiquement les automates Schneider Electric et OMRON, elle le fait en exploitant le logiciel sous-jacent dans ces automates connus sous le nom de Codesys, qui est utilisé beaucoup plus largement dans des centaines d’autres types d’automates. automates. Cela signifie que le logiciel malveillant pourrait facilement être adapté pour fonctionner dans presque tous les environnements industriels. “Cet ensemble d’outils est si volumineux qu’il s’agit essentiellement d’un jeu gratuit”, déclare Caltagirone. “Il y a assez ici pour que tout le monde s’inquiète.”
L’avis de la CISA fait référence à un “acteur APT” anonyme qui a développé la boîte à outils des logiciels malveillants, en utilisant l’acronyme commun APT pour désigner une menace persistante avancée, un terme désignant les groupes de pirates parrainés par l’État. Il est loin d’être clair où les agences gouvernementales ont trouvé le malware, ou quel pays les pirates l’ont créé, bien que le moment de l’avis fasse suite aux avertissements de l’administration Biden concernant le gouvernement russe prenant des mesures préparatoires pour mener des cyberattaques perturbatrices au milieu de son invasion de Ukraine.
Dragos a également refusé de commenter l’origine du malware. Mais Caltagirone dit qu’il ne semble pas avoir été réellement utilisé contre une victime – ou du moins, il n’a pas encore déclenché d’effets physiques réels sur les systèmes de contrôle industriel d’une victime. “Nous sommes convaincus qu’il n’a pas encore été déployé pour des effets perturbateurs ou destructeurs”, déclare Caltagirone.