Infos

Un malware qui vise les systèmes d’automatisation industrielle s’inspire de Stuxnet

D’après les informations de FireEye, le malware Irongate, qui vise les systèmes de contrôle des procédés industriels ressemble en certains points au terrible ver Stuxnet. Cette découverte est une nouvelle source d’inquiétude pour les membres de la communauté de la sécurité de l’information et elle vient confirmer la nécessité du perfectionnement des systèmes de détection des malwares qui attaquent les infrastructures critiques.

Les chercheurs ont également signalé qu’Irongate ne constituait pas une menace sérieuse pour l’instant car il fonctionne uniquement dans des environnements simulés. Ceci étant dit, FireEye indique que ce malware est passé inaperçu pendant des années alors qu’il figurait pendant tout ce temps dans la base VirusTotal. « La compétence du secteur dans le domaine de l’identification et de la détection des menaces s’améliore, mais elle n’a pas encore atteint un niveau satisfaisant comme le montrent ces exemples » constate Rob Caldwell, directeur du groupe d’analyse FireEye Labs Advanced Reverse Engineering (FLARE). Il poursuit en expliquant qu’il faut absolument mieux comprendre ce que représentent les menaces pour les systèmes de contrôle des procédés industriels, comment les détecter et comment améliorer la protection contre celles-ci. »

D’après FireEye, le malware qu’elle a identifié se distingue par sa capacité à mener une attaque de type homme du milieu contre l’entrée et la sortie des procédés et à attaquer l’application qui exécute des opérations sur les processus dans les environnements simulés. Un système compromis par Irongate permet aux attaquants de substituer les contrôles industriels à l’insu de l’opérateur du système. Des techniques semblables ont déjà été utilisées par le passé pour mettre hors service des infrastructures critiques diverses, depuis des réseaux de distribution d’électricité jusqu’aux contrôleurs logiques de centrifugeuses dans le secteur nucléaire.

Les chercheurs ont découvert une exemplaire d’Irongate vers la fin de l’année 2015 sur VirusTotal alors qu’ils recherchaient des droppers compilés à l’aide PyInstaller. L’échantillon trouvé ressemblait très fort aux malwares qui visaient les systèmes d’automatisation industrielle et autres systèmes de contrôle des procédés industriels. Il se fait que ce modèle avait été chargé pour analyse en 2012, mais aucun logiciel antivirus ne l’avait reconnu.

L’analyse a démontré que le malware utilise une technique de l’homme du milieu qui permet de réaliser des attaques contre une application personnalisée de l’utilisateur qui fonctionne dans un milieu de modélisation des contrôleurs logiques programmables Step 7 de Simens Les experts ont découvert également une bibliothèque dynamique capable de masquer le comportement malveillant du code exécutable. Cette DLL est capable d’enregistrer cinq secondes du trafic « normal » provenant du contrôleur logique programmable modélisé ; l’attaquant peut reproduire ce fragment afin de masquer le transfert des données codées en dur vers l’équipement d’imitation.

Les chercheurs ont été surpris de voir que pour rendre l’analyse plus difficile, ce malware spécialisé se comporte comme un malware traditionnel : lorsqu’il est exécuté sur une machine virtuelle ou dans un bac à sable (Cuckoo), il passe en mode de veille et refuse de s’exécuter.

« Bien que Stuxnet soit plus complexe sur le plan technique, Irongate possède quelques traits similaires » a déclaré Sean McBride, analyste antivirus principal chez FireEye. Pour être plus précis, il a noté que ces deux malwares sont destinés à attaquer un système particulier de gestion et ils utilisent des outils de protection contre la détection : Stuxnet est capable de détecter la présence d’un logiciel antivirus et Irongate, celle d’une machine virtuelle. Toutefois, à la différence de ses rares confrères comme BlackEnergy, Havex, et même Stuxnet, Irongate n’est pas très répandu dans la pratique : il fonctionne seulement dans les environnements simulés orientés sur les systèmes Siemens.

Qui est donc à l’origine de ce malware et quel est son objectif ? FireEye avance trois hypothèses en réponse. Tout d’abord, les experts supposent que son auteur peut avoir nourri l’espoir que quelqu’un transfèrerait ce code depuis l’environnement simulé et commencerait à l’utiliser dans son environnement de travail. Il est également possible qu’Irongate soit un modèle expérimental et que son créateur a décidé de vérifier à quel point il était facile de le détecter via les services VirusTotal. La troisième hypothèse est celle considérée comme la plus probable par FireEye : un expert en sécurité de l’information a oublié qu’il avait soumis ce code à une vérification il y a un certain temps.

« Il convient de fournir de plus gros efforts dans le secteur pour détecter les menaces qui visent les systèmes de contrôle des procédés industriels » conclut Dan Scali, conseiller principal de la division conseil de FireEye sur les questions de sécurité des systèmes d’automatisation industrielle. « Globalement, il n’y a pas eu de gros progrès dans la résolution des problèmes posés par Irongate depuis Stuxnet. Dans la mesure où l’accès à de tels attaques se démocratise, le thème de l’adéquation des mesures de protection est source de préoccupation.

Fonte: Threatpost

Un malware qui vise les systèmes d’automatisation industrielle s’inspire de Stuxnet

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception