Sécurité IT : réminiscences de Stuxnet

Clément Bohic,
CloudRisquesSécurité
symantec-f-secure-campagne-stuxnet

Symantec et F-Secure ont mis le doigt sur une campagne de cyber-espionnage menée pendant plus d’un an contre des entreprises du secteur de l’énergie basées essentiellement en Europe.

A l’été 2010, les experts en sécurité informatique mettaient au jour une grande opération de piratage ciblant des systèmes de contrôle et de supervision des processus industriels (SCADA) : ils avaient découvert le ver Stuxnet.

Ce malware complexe et polymorphe dont la conception est attribuée à l’Agence américaine de sécurité nationale (NSA) avec la collaboration de l’unité 8200 de l’armée israélienne (cyberdéfense) avait fini par se propager au-delà de sa cible initiale. En l’occurrence, un site d’enrichissement d’uranium implanté en Iran. Il y avait endommagé un millier de centrifugeuses sur les 5000 exploitées.

Quatre ans plus tard, un cousin éloigné de Stuxnet fait surface. Quoique capable, comme son prédécesseur, de saboter des systèmes d’information, ce nouveau virus n’aurait pas été utilisé à ces fins. Il aurait plutôt, d’après F-Secure et Symantec, constitué le point d’ancrage d’une longue opération de cyber-espionnage touchant essentiellement le secteur de l’énergie en Europe.

A l’origine de cette campagne qui s’est vraisemblablement échelonnée entre février 2013 et mai 2014, on trouverait un collectif de hackers baptisé Dragonfly, mais aussi connu sous le nom d’Energetic Bear. Les premières traces d’activité de ce groupe remontent à 2011 avec, à l’époque, des attaques au Canada et aux Etats-Unis, contre des entreprises de la défense et de l’aéronautique.

L’offensive détectée par F-Secure et Symantec semble être son premier fait d’armes dans le secteur de l’énergie. Elle se serait déroulée en trois temps, à commencer par une campagne de phishing. Sept organisations ont été visées, toutes de la même manière : un ou plusieurs employés occupant généralement des postes à responsabilité recevaient un e-mail intitulé « The account » ou « Settlement of delivery problem ». En pièce jointe se trouvait un fichier PDF malveillant déclenchant l’installation d’une porte dérobée par l’exploitation d’une faille dans la visionneuse Adobe Reader. Cette phase aurait duré a minima quatre mois, entre février et juin 2013.

Au-delà du phishing

L’opération a ensuite pris un nouveau tournant autour de la méthode du « watering hole ». Plusieurs sites Web sur lesquels les professionnels du secteur de l’énergie étaient susceptibles de se connecter ont été compromis par l’injection d’un iframe lié à l’exploit Lightsout, lequel utilise le plugin Java ou le navigateur Internet Explorer pour installer des logiciels malveillants.

Ultime étape : l’injection de chevaux de Troie directement dans des mises à jour de logiciels destinés à des systèmes SCADA. Trois produits ont ainsi été infiltrés. Le premier permettait d’accéder, via un serveur privé virtuel (VPN), à des automates programmables industriels (PLC, pour « Programmable Logic Controller ») ; il a été supprimé du serveur qui l’hébergeait après environ 250 téléchargements. Le second était utilisé pour mettre à niveau le firmware d’un PLC ; il a été disponible pendant au moins 6 semaines entre juin et juillet 2013. Le troisième était proposé par une firme européenne spécialisée dans la gestion des systèmes d’éoliennes ; les administrateurs IT ont pu y accéder pendant une dizaine de jours en avril 2014.

Parmi les centaines d’entreprises atteintes par le collectif Dragonfly, figuraient des opérateurs de réseaux électriques, des fournisseurs d’équipements industriels pour les professionnels de l’énergie ou encore des exploitants de pipelines pétroliers. Dans 27% des cas, l’entité victime est implantée en Espagne ; 25%, aux Etats-Unis ; 9%, en France ; 8%, en Italie ; 7%, en Allemagne.

Dans 95% des cas, c’est la porte dérobée Backdoor.Oldrea qui est mise à contribution pour accéder à distance aux systèmes infectés et consulter fichiers, programmes installés, listes de contacts Outlook ou encore configurations réseau. Toutes ces données sont centralisées dans un fichier temporaire chiffré, puis envoyé à un serveur de commande et contrôle (C&C). Selon Symantec, Backdoor.Oldrea est un malware développé sur mesure… et par là même sans doute commandé par un État.

A l’inverse, Trojan.Karagany (utilisé dans 5% des cas) semble provenir de la scène « undergrond ». Son code source ayant fuité en 2010, il est fort probable que Dragonfly ait créé son propre dérivé du malware, lui aussi capable de récupérer des données, mais aussi d’exécuter des plugins tiers : récupération de mots de passe, captures d’écran, etc.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les principales fonctionnalités des antivirus version 2013 ?

Crédit photo : Kheng Guan Toh – Shutterstock.com

Lire aussi :

Sécurité IT : qui a les clés de la mémoire vive ?

Malware museum : la petite galerie des horreurs virales

La Chine a-t-elle visé iCloud sous couvert de l’effet iPhone 6 ?

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur