LEBIGDATA.FR I.A, Cloud & Cybersécurité
Le FBI a découvert un malware conçu pour pirater les infrastructures essentielles comme les réseaux électriques et les raffineries de pétrole. Un guide est publié pour permettre aux opérateurs d'infrastructures de se protéger d'urgence.
L'informatisation de l'industrie a offert de nombreux bienfaits. Toutefois, le revers de la médaille est que les cyberattaques peuvent désormais toucher les réseaux d'électricité, les usines, les infrastructures d'eau ou encore les raffineries de pétrole.
Les malwares conçus pour pirater les systèmes de contrôle industriel sont encore rares dans le milieu de la cybercriminalité, mais sont particulièrement dangereux.
Le premier exemple d'un tel malware est Stuxnet. Ce code créé par les États-Unis et Israël a été découvert en 2010 après avoir été utilisé pour détruire des centrifugeuses d'enrichissement nucléaire en Iran.
Plus récemment, les hackers russes du groupe Sandworm ont déployé l'outil Industroyer pour déclencher une panne d'électricité massive dans la capitale de Kiev fin 2016. Une telle attaque a de nouveau été lancée la semaine dernière contre un fournisseur d'électricité ukrainien avec un nouveau variant d'Industroyer.
Pipedream : un malware conçu pour n'importe quelle infrastructure
Le 13 avril 2022, le FBI a tiré la sonnette d'alarme suite à la découverte d'un malgiciel dénommé Pipedream. Il s'agit probablement de l'outil de piratage d'infrastructure essentielle le plus polyvalent à ce jour.
Le code de ce malware ne lui permet pas de cibler une seule industrie, mais potentiellement toutes les infrastructures essentielles. Il s'agit donc d'un danger majeur dont les entreprises des secteurs énergétiques doivent impérativement prendre conscience…
Afin de donner l'alerte, un communiqué vient d'être publié conjointement par le Department of Energy, la Cybersecurity and Infrastructure Security Agency, la NSA et le FBI.
Ce nouvel ensemble d'outils destiné aux hackers est potentiellement capable d'infecter une large variété d'équipement de systèmes de contrôle. Ses différents composants lui permettent de perturber le fonctionnement des appareils ou d'en prendre contrôle.
Ceci concerne notamment les Contrôleurs Logiques Programmables (PLC) vendus par Schneider Electric et OMRON. Ces appareils sont conçus pour servir d'interface entre les ordinateurs traditionnels, et les actionneurs et capteurs dans les environnements industriels.
Un autre composant du malware est conçu pour cibler les serveurs de l'Open Platform Communications Unified Architecture (OPC UA). Il s'agit des ordinateurs qui communiquent avec les contrôleurs PLC.
Le malware industriel le plus avancé à ce jour
Selon Sergio Catagirone, vice-président de l'entreprise de cybersécurité industrielle Dragos, » c'est l'outil d'attaque de système de contrôle industriel le plus avancé à ce jour « . Ce chercheur a contribué à la rédaction du rapport sur Pipedream, aux côtés d'experts d'autres entreprises comme Palo Alto Networks, Microsoft et Schneider Electric.
Ce malware a la capacité de détourner les appareils pris pour cible, d'empêcher les opérateurs d'y accéder, de les briquer de façon permanente ou même de les utiliser pour conférer aux hackers l'accès à d'autres parties du réseau du système de contrôle industriel.
En outre, même si Pipedream cible spécifiquement les PLC Schneider Electric et OMRON, le toolkit procède en exploitant le logiciel sous-jacent Codesys. Or, ce logiciel est utilisé par plusieurs centaines d'autres PLC. Par conséquent, le malware pourrait très facilement s'adapter pour fonctionner dans n'importe quel environnement industriel…
Une nouvelle offensive russe ?
Selon le document publié par la CISA, ce malware est très probablement développé par un » APT actor » (Advanced Persistend Threat) à savoir un hacker affilié à un état. On ignore où les agences gouvernementales ont trouvé ce malware, ou dans quel pays les hackers l'ont créé, mais il est possible qu'il s'agisse d'une cyberarme russe.
Fin mars 2022, Joe Biden tirait la sonnette d'alarme au sujet d'un risque de cyberattaque dévastatrice, en marge de l'invasion de l'Ukraine. Quelle que soit sa provenance, ce malware ne semble pas avoir été déployé contre une victime pour le moment.
Malgré son adaptabilité à n'importe quel environnement industriel, il semblerait que ce toolkit soit conçu spécifiquement pour les PLC Schneider et OMRON utilisés par les réseaux d'électricité et les raffineries de pétrole. Ces équipements sont particulièrement utilisés pour les infrastructures de gaz naturel liquéfié.
La capacité d'envoyer des commandes vers les servomoteurs des infrastructures pétrochimiques peut être extrêmement dangereuse, car elle pourrait entraîner une destruction ou même la perte de vies humaines. Ce malware peut donc être considéré comme un killware.
Comment protéger les infrastructures contre Pipedream ?
Le guide de la CISA n'indique pas de vulnérabilité spécifique ciblée par Pipedream sur les appareils ou les logiciels. En réalité, ce malware exploite de multiples vulnérabilités zero-day qui n'ont pas été patchées.
Quoi qu'il en soit, même le patching de ces vulnérabilités n'empêchera pas la plupart des capacités de Pipedream. En effet, ce toolkit est conçu pour pirater les fonctionnalités des appareils ciblés et pour envoyer des commandes légitimes vers les protocoles qu'ils utilisent.
La CISA délivre une liste de mesures permettant aux opérateurs d'infrastructures de protéger leurs opérations. Il est notamment conseillé de limiter les connexions au réseau des systèmes de contrôle industriel, et d'implémenter des systèmes de monitoring pour les systèmes ICS permettant d'envoyer des alertes en cas de comportement suspect.
Today the US Government announced a new ICS malware that has been designed to disrupt industrial operations. CISA/FBI/NSA put out a great advisory; also I appreciate the callout/thanks to @DragosInc in the advisory – we call the malware PIPEDREAM https://t.co/ZuqwKzzYq3
— Robert M. Lee (@RobertMLee) April 13, 2022
Suite à la découverte de ce malware, Schneider et Omron collaborent avec le gouvernement des États-Unis et l'entreprise Mandiant pour » identifier et développer des mesures protectrices « . Les deux entreprises se félicitent d'avoir pu collaborer avec le secteur public pour contrer la menace avant qu'elle soit déployée.
Toutefois, même si le malware a été découvert avant d'être déployé, il pourrait représenter une grave menace s'il tombe entre de mauvaises mains. Les opérateurs d'infrastructures doivent impérativement prendre des mesures adéquates pour se protéger, aussi bien aux Etats-Unis qu'à l'international…
- Partager l'article :
