Au cours de la dernière décennie, l’évolution des menaces cybernétiques a mis en lumière une catégorie particulièrement inquiétante : les logiciels malveillants ciblant les systèmes de contrôle industriel (ICS). Ces cyberattaques ont souvent été motivées par des objectifs géopolitiques ou stratégiques, mettant en péril des infrastructures critiques. Voici une analyse approfondie des cinq menaces les plus marquantes.
1. Havex : Le cheval de Troie au service de l'espionnage industriel
Contexte historique : Havex, apparu en 2013, a été attribué au groupe APT "Energetic Bear" (aussi connu sous le nom de Dragonfly), lié à la Russie. Ce logiciel malveillant visait les secteurs de l’énergie et de l’industrie en Europe et en Amérique du Nord. Son approche a révélé une compréhension approfondie des systèmes ICS et de leurs vulnérabilités.
Exemple d’attaque : Havex a infecté des logiciels tiers légitimes, comme ceux fournis par eWON et MESA Imaging, en utilisant des stratégies de la chaîne d’approvisionnement. En conséquence, les entreprises victimes installaient involontairement le malware via des mises à jour compromises.
Caractéristiques principales :
- Balayage OPC : Havex scanne les réseaux pour détecter les dispositifs ICS en abusant du protocole OPC (Open Platform Communications), notamment sur les ports 44818, 105 et 502.
- Attaques de la chaîne d’approvisionnement : Le malware a infiltré des logiciels légitimes de fournisseurs ICS comme MESA Imaging et eWON/Talk2M, détournant ainsi la confiance des utilisateurs.
- Injection de charges malveillantes : Havex a souvent servi de vecteur pour le déploiement de malwares secondaires, comme Karagany, capable de voler des informations sensibles et de manipuler les réseaux infectés.
Havex a marqué un tournant dans les cyberattaques industrielles en démontrant l’efficacité des stratégies indirectes comme les points d’eau, mettant ainsi en évidence la vulnérabilité des infrastructures ICS mal isolées des réseaux d'entreprise.
2. BlackEnergy : De l'outil DDoS à la cyberarme
Contexte historique : Initialement conçu comme un outil pour les attaques DDoS en 2007, BlackEnergy a été transformé par le groupe Sandworm en une plateforme modulaire puissante. En 2015, il a été directement impliqué dans la cyberattaque qui a provoqué une coupure de courant majeure en Ukraine.
Exemple d’attaque : Lors de l’attaque de 2015 contre le réseau électrique ukrainien, BlackEnergy a été utilisé pour accéder aux systèmes de gestion de l’énergie et perturber les opérations. Cette attaque a laissé des centaines de milliers de foyers sans électricité pendant plusieurs heures.
Plugins sophistiqués :
BlackEnergy est particulièrement redoutable grâce à une série de modules personnalisables, parmi lesquels :
- ki.dll : Capture de frappe pour voler des mots de passe.
- vs.dll : Découverte de réseau et exécution de commandes à distance.
- dstr.dll : Destruction des systèmes cibles.
Le succès de BlackEnergy réside dans sa capacité à s’adapter aux objectifs des attaquants, que ce soit pour l’espionnage ou le sabotage.
3. Triton/TRISIS : Une menace pour la sécurité industrielle
Contexte historique : Découvert en 2017, Triton (ou TRISIS) est spécialement conçu pour attaquer les systèmes de sécurité Triconex de Schneider Electric, qui protègent les installations critiques contre des pannes ou des accidents graves.
Exemple d’attaque : Une tentative a été identifiée en Arabie saoudite dans une usine pétrochimique, où Triton a cherché à désactiver les systèmes de sécurité. Bien que l’attaque ait été neutralisée, elle aurait pu entraîner une catastrophe majeure.
Particularités :
- Objectif destructeur : Triton vise à désactiver les systèmes de sécurité, augmentant le risque d’incidents catastrophiques.
- Origine supposée : D'abord attribué à l'Iran, Triton a été ensuite lié à un institut de recherche en Russie.
Les attaques attribuées à Triton ont été observées en Arabie saoudite, en Amérique du Nord et en Chine, illustrant son potentiel global.
4. Stuxnet : La cyberarme qui a changé la donne
Contexte historique : Dévoilé en 2010, Stuxnet est une cyberarme conçue par les États-Unis et Israël pour perturber le programme nucléaire iranien. Il représente la première attaque publique exploitant des failles zero-day pour cibler des systèmes ICS.
Exemple d’attaque : En infectant les centrifugeuses de l’installation de Natanz, Stuxnet a perturbé le processus d’enrichissement de l’uranium en altérant discrètement leur vitesse, entraînant des défaillances matérielles.
Fonctionnement :
- Cibles spécifiques : Les automates Siemens Step7 utilisés dans les centrifugeuses nucléaires iraniennes.
- Propagation innovante : Stuxnet exploitait des failles zero-day et traversait les air-gaps via des clés USB infectées.
- Impact : Le ver a détruit environ 20 % des centrifugeuses iraniennes et a infecté plus de 200 000 ordinateurs.
Avec Stuxnet, le monde a pris conscience du potentiel des cyberarmes dans le domaine géopolitique.
5. Industroyer/CRASHOVERRIDE : Le cadre malveillant pour les réseaux électriques
Contexte historique : Industroyer, également appelé CRASHOVERRIDE, a été utilisé lors de la cyberattaque de 2016 qui a perturbé le réseau électrique de Kiev, laissant un cinquième de la capitale ukrainienne sans électricité pendant une heure. Cet incident, le deuxième en deux ans, a été perçu comme un test grandeur nature pour des attaques futures.
Exemple d’attaque : En décembre 2016, Industroyer a déployé plusieurs modules pour manipuler directement les équipements des sous-stations électriques en abusant de protocoles industriels comme CEI 61850 et OPC Data Access. L’attaque s’est terminée par une suppression massive de données pour ralentir les efforts de récupération.
Techniques principales :
Porte dérobée principale : Commande et contrôle des modules malveillants pour coordonner les attaques.
Effaceur de données : Suppression des clés de registre et des fichiers essentiels, rendant les systèmes non amorçables.
Modules adaptés aux protocoles ICS : Manipulation des normes CEI 60870-5-101 et CEI 60870-5-104 pour envoyer des commandes illégitimes aux dispositifs cibles.