mimadeo - Fotolia

SFG : un logiciel malveillant parmi tant d’autres ?

Pour Damballa, SFG ne serait qu’une variante de Furtim, sans lien avec les systèmes informatiques industriels ni avec un Etat-nation. SentinelOne corrige légèrement sa communication.

Dans sa récente analyse de SFG, un cousin de Furtim, SentinelOne est peut-être allé un peu vite en besogne. Les équipes de cette jeune pousse, qui mise sur l’analyse comportementale sur le poste de travail pour détecter le code malicieux, indiquaient ainsi la semaine dernière avoir découvert une opération visant au moins un énergéticien européen en s’appuyant sur un logiciel malveillant là aussi hautement furtif. Et compte tenu de « la nature, du comportement et de la sophistication du logiciel malveillant, et des mesures extrêmes qu’il prend pour échapper à la détection, il renvoie probablement à une initiative soutenue par un Etat-nation, potentiellement en Europe de l’Est ». Ce logiciel malveillant serait un dropper, chargé de déposer la charge utile malveillante sur les systèmes compromis, et il serait actif depuis le mois de mai. Période à laquelle Ensilo, spécialisé dans la protection contre les suites des intrusions, avait mis la main sur Furtim.

Mais voilà, pour Damballa, SFG « ne contient pas de code spécifique pour attaquer des systèmes ICS ou Scada ». Ce ne serait en outre « qu’une autre compilation de Furtim » utilisant « une infrastructure cybercriminelle connue, à la motivation financière » ; celle déjà exploitée par les opérateurs des campagnes TeslaCrypt ou encore GameOver ZuS/Zbot, entre autres.

En somme, ce logiciel malveillant ne ciblerait en rien les infrastructures industrielles des énergéticiens. Surtout, sa furtivité, pour impressionnante qu’elle puisse être, ne serait en fait imputable qu’à un important effort de consolidation de méthodes « à partir d’autres codes malicieux remontant à des années ». Pour Damballa, « la couverture de ces tactiques est la plus complète vue à ce jour dans n’importe quelle souche de logiciel malveillant ».

Chez SentinelOne, Joseph Landry et Udi Shamir ont pris acte et légèrement revu leur copie, supprimant la référence à l’Europe pour l’énergéticien chez qui ils ont trouvé SFG, et soulignant surtout  « n’avoir pas de preuve » que le logiciel vise des systèmes Scada du secteur de l’énergie. Sa présence dans le système d’information d’un énergéticien pourrait ainsi n’être que due au hasard.

Damballa estime tout de même que « le large éventail de types d’identifiants [susceptibles d’être compromis] peut être utilisé de façons ayant des conséquences significatives et étendues. Compte tenu de la compromission que ce logiciel malveillant provoque sur les systèmes, de la manière dont il opère avec discrétion, nous devrions faire de notre mieux pour garder Furtim/SFG à l’écart du réseau électrique… et de tout autre système ».

Pour l’éditeur, la priorité de l’industrie devrait aujourd’hui aller à la cartographie de l’infrastructure sur laquelle il s’appuie et « à travailler avec les autorités pour la perturber, la dégrader, et la détruire ». 

Pour approfondir sur Menaces, Ransomwares, DDoS

Close