Narong Jongsirikul - Fotolia

Crashoverride, une menace taillée pour les réseaux électriques

Ce nouveau framework de logiciels malveillants apparaît, selon Dragos, conçu spécifiquement pour provoquer des interruptions de distribution d’électricité. Il aurait déjà utilisé en Ukraine fin 2016.

Dragos, un spécialiste de la sécurité des infrastructures critiques, vient de se pencher sur Crashoverride, un framework pour logiciels malveillants dédiés aux systèmes industriels du secteur de l’énergie. C’est Eset qui en a initialement étudié des échantillons, faisant référence au framework sous le nom Industroyer.

Dans son analyse, Eset souligne la modularité de l’outillage, avec des composants permettant d’attaquant différents protocoles ICS/Scada, mais également un module d’effacement de données, plusieurs portes dérobées – avec des mécanismes de communication via Tor qui peuvent être limités aux heures non ouvrées –, etc.

Pour Dragos, cette modularité permet aux auteurs du framework d’envisager d’intégrer rapidement et aisément le support de nouveaux protocoles, mais également de mettre pour cela à profit « des équipes de développement externes compétentes dans la compromission de systèmes de contrôle industriel ». Le module dédié au protocole IEC 104 témoignerait d’ailleurs de l’adoption d’une telle approche.

Et pour Dragos, Crashoverride a bien déjà été utilisé en conditions réelles : il aurait été à la manœuvre fin décembre dernier, lorsque que la sous-station de Pivnichna, en banlieue de Kiev, a été la cible d’une cyberattaque. La capitale ukrainienne a alors été privée d’un cinquième de sa puissance consommée. C’était la seconde attaque informatique visant les réseaux électriques du pays en un an. La précédente, remonté à décembre 2015, avait impliqué BlackEnergy.

Et tout cela ne serait pas innocent : selon Dragos, Crashoverride est opéré par un groupe qui aurait des liens directs avec l’équipe Sandworm, à l’origine de BlackEnergy. Pour formuler cette affirmation, il s’appuie sur « des sources confidentielles » et indique que les clients de son service de renseignement ICS WorldView « ont reçu un rapport complet », plus en tout cas que celui qu’il a rendu accessible à tous sur son site Web.

Dans celui-ci, Dragos n’en multiplie pas moins les recommandations. Et si cela commence par la surveillance des protocoles spécifiques IEC 104 et IEC 61850, figurent aussi des conseils qui ne surprendront guère les administrateurs du monde des technologies de l’information : mise en place « de sauvegardes robustes des fichiers d’ingénierie », de configuration, des installateurs d’applications ICS, ou encore la mise à l’épreuve des plans de réponse à incident à l’occasion d’exercices pratiques. 

Pour approfondir sur Menaces, Ransomwares, DDoS

Close