Les premières victimes de Stuxnet ont ouvert les portes de Natanz

Les cinq premières victimes de Stuxnet avaient été soigneusement choisies par les attaquants, ce qui leur a permis par la suite de pénétrer dans l’usine d’enrichissement d’uranium de Natanz et de porter un coup au programme nucléaire iranien.

Sur la base d’indices laissés dans le corps de ce ver, dont la découverte remonte au milieu de l’année 2010, les experts de l’Equipe internationale de recherche et d’analyse (GReAT) de Kaspersky Lab ont réussi à identifier cinq sociétés iraniennes considérées comme les premières victimes de l’infection. Les experts de Kaspersky Lab indiquent dans leur rapport qu’ils "ont rassemblé des fichiers de Stuxnet pendant deux ans. Après avoir analysé plus de 2 000 fichiers, nous avons pu identifier 5 organisations qui ont figuré parmi les premières victimes des premières versions du ver entre 2009 et 2010."

Les experts de Kaspersky Lab ne sont pas les seuls à avoir tenté de remonter jusqu’à la source de Stuxnet. Des chercheurs de Symantec ont également confirmé que le malware avait été propagé via cinq organisations. Ces conclusions provenaient de l’analyse d’informations obtenues par Symantec et qui indiquaient que le ver conservait dans les journaux les données relatives aux noms, aux domaines et aux adresses IP des systèmes infectés.

Des recherches complémentaires ont permis aux experts de Kaspersky Lab d’identifier ces cinq sociétés : il s’agissait de fournisseurs de système de commande industrielle, de développeurs de tels systèmes et du fabricant des centrifugeuses. Il semblerait que ces cinq sociétés travaillent en partenariat avec le site de Natanz ; deux d’entre elles figurent dans la liste des sociétés soumises à des sanctions établie par le ministère de la Justice des Etats-Unis pour activité de contrebande, notamment à des fins militaires.

"Afin de pouvoir pénétrer dans l’infrastructure jalousement gardée où l’Iran développe son programme nucléaire, les attaquants ont du résoudre un problème complexe : comment introduire un code malveillant dans en endroit dépourvu de connexion directe à Internet ? La solution choisie fut de s’attaquer à des organisations de ‘haut profil’ distinctes et tout indique que cette stratégie a été payante" peut-on lire dans le rapport du GReAT. Mais Stuxnet ne s’est pas contenté de ces victimes ; il a commencé à attaquer d’autres organisations et en quelques mois, il agissait au-delà des frontières iraniennes.

L’analyse du code malveillant trouvé sur les ordinateurs de Foolad Technic Engineering Co. d’Ispahan, la première victime, a démontré que Stuxnet s’intéressait non seulement aux centrifugeuses, mais également aux projets STEP 7 de Siemens. La version du ver repérée sur les réseaux de Foolad avait été compilée le 22 juin 2009 ; elle avait fait sa première victime quelques heures seulement après sa diffusion. D’après les chercheurs, un laps de temps aussi court exclut une infection par clé USB.

La société Foolad, victime d’une autre attaque en avril 2010 (cette fois-ci, par la troisième version de Stuxnet), se spécialise dans la création de systèmes d’automatisation pour l’industrie iranienne, principalement dans les secteurs sidérurgiques et énergétiques. Cette société est également étroitement liée aux opérateurs de systèmes de commande de processus industriels. Le rapport du GReAT signale que "Il ne fait aucun doute que le réseau de cette société contient des documents, des schémas et des plans de grandes entreprises d’Iran. Il ne faut pas oublier que Stuxnet, outre sa capacité à interagir avec les moteurs, possédait un module espion et récoltait dans les systèmes infectés toutes les informations relatives aux projets STEP 7".

Les chercheurs supposent que "la persévérance des auteurs de Stuxnet s’explique par le fait qu’ils considéraient Foolad Technic Engineering Co non seulement comme le chemin le plus court jusque la cible du ver, mais également comme une source pour le moins intéressante d’informations sur l’activité industrielle en Iran".

Behpajooh Co. Elec & Comp. Engineering, autre développeur de systèmes d’automatisation industrielle d’Ispahan, fut attaqué une fois en 2009 et deux fois en 2010, chaque fois avec une version différente de Stuxnet. Pour les experts de Kaspersky Lab, Behpajooh est le patient zéro à partir duquel la propagation massive du ver s’est déroulée. D’après les informations de GReAT, le malware a pu s’introduire rapidement depuis cette société dans le réseau de Mobarakeh Steel, le plus grand complexe sidérurgique iranien.

"L’arrivée de Stuxnet dans cette usine, visiblement liée à des dizaines d’autres entreprises iraniennes et à un volume important d’ordinateurs de production, a déclenché une réaction en chaîne impliquant la propagation soutenue du ver sur des milliers de systèmes au cours d’une période de 2 à 3 mois seulement" expliquent les experts. Ils ajoutent que dès juillet 2010, cette branche de l’infection de Stuxnet avait atteint la Russie et la Biélorussie.

Neda Industrial Group, la troisième victime de ce groupe de victimes originelles, a été infecté le 7 juillet 2009.

Il est intéressant de constater qu’une des filiales de Neda est un fournisseur de services d’automatisation des processus dans le secteur énergétique, la production de ciment, l’exploitation pétrolière et gazière et la pétrochimie. Neda fut attaquée une seule fois, mais d’après les journaux, Stuxnet n’a pas réussi a quitté les limites de l’organisation. Le rapport du GReAT indique "que cela n’était peut-être pas son objectif dans ce cas. Comme nous l’avons déjà signalé, la fonction de vol d’informations sur les projets STEPS dans les systèmes infectés était également intéressante pour les auteurs de Stuxnet".

Control Gostar Jahed fut infectée au même moment que Neda. Il s’agit ici aussi d’une société iranienne spécialisée dans l’automatisation industrielle. Elle a été victime d’une seule attaque ; d’après les experts, ce fut la ligne de propagation de Stuxnet connue la plus courte.

D’après GReAT, la cinquième victime de Stuxnet fut attaquée le 11 mai 2010. Ce jour-là, trois ordinateurs d’une organisation identifiée avec un grand coefficient de certitude comme Kala Electric par les experts de Kaspersky Lab furent infectés. Cette société est le développeur principal des centrifugeuses d’enrichissement d’uranium utilisées par le programme de recherche nucléaire iranien. En guise de conclusion, les experts déclarent : "Le choix de cette organisation en guise de premier maillon de la chaîne d’infection jusque la cible est tout à fait logique. On peut même se demander pourquoi cette entreprise n’apparaît pas dans la première vague d’attaques de 2009".

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *