Le gouvernement américain a averti que les acteurs des menaces persistantes avancées (APT) ont conçu des outils capables de détourner des appareils industriels déployés dans des secteurs d’infrastructures critiques.

Les outils de piratage sur mesure permettent aux cybercriminels « de rechercher, de compromettre et de contrôler les appareils concernés une fois qu’ils ont établi un accès initial au réseau de technologie opérationnelle (OT) », lit-on dans un communiqué. conseil en cybersécurité (CSA) publié hier (13 avril) par la NSA, le FBI, le Département de l’énergie (DOE) et la Cybersecurity and Infrastructure Security Agency (CISA).

« Les acteurs APT peuvent tirer parti des modules pour rechercher des appareils ciblés, effectuer une reconnaissance des détails de l’appareil, télécharger une configuration/un code malveillant sur l’appareil ciblé, sauvegarder ou restaurer le contenu de l’appareil et modifier les paramètres de l’appareil. »

N’OUBLIEZ PAS DE LIRE Les attaquants exploitent la vulnérabilité Spring4Shell pour propager le malware du botnet Mirai

Un outil exploite une vulnérabilité (CVE-2020-15368) dans le pilote de carte mère signé ASRock, AsrDrv103.sys, pour exécuter du code malveillant dans le noyau Windows et fournir un tremplin pour les mouvements latéraux et l’élévation des privilèges.

Un trio de dispositifs de système de contrôle industriel (ICS) ou de contrôle de supervision et d’acquisition de données (SCADA) sont vulnérables, y compris plusieurs modèles d’automates programmables industriels (API) Schneider Electric et d’automates OMRON Sysmac NEX, ainsi que l’architecture unifiée de communications à plate-forme ouverte (OPC UA).

Les automates programmables sont des ordinateurs à semi-conducteurs qui surveillent les entrées et prennent des décisions sur les sorties de processus ou de machines automatisés. OPC UA est une norme extensible et indépendante de la plate-forme qui facilite l’échange sécurisé de données dans les systèmes industriels.

« Difficile à détecter »

Les outils d’attaque modulaires, dont l’interface de commande reflète l’interface des appareils ciblés, permettent aux pirates malveillants dotés de compétences techniques même modestes de mener des exploits hautement automatisés contre les appareils ciblés.

L’ensemble d’outils a été analysé par la société industrielle de cybersécurité Dragos, qui a déclaré qu’il ne s’agissait que du septième malware spécifique à ICS et qu’il était l’œuvre d’un mystérieux groupe de menaces qu’il a surnommé « Chernovite ».

Alors que le malware – nommé « Pipedream » par Dragos – est personnalisé pour cibler les actifs de gaz naturel liquide et d’électricité, il est suffisamment polyvalent pour cibler une variété de contrôleurs et de systèmes industriels, selon Robert M Lee, PDG et co-fondateur de Dragos.

« Pipedream tire parti des fonctionnalités natives dans les opérations, ce qui les rend plus difficiles à détecter », a-t-il déclaré. « Il inclut des fonctionnalités telles que la possibilité de se propager d’un contrôleur à l’autre et d’exploiter les protocoles réseau ICS populaires tels que ModbusTCP et OPC UA. »

Dans un analyse séparéela société de cybersécurité Mandiant a déclaré que l’ensemble d’outils « représente une capacité de cyberattaque exceptionnellement rare et dangereuse ».

Les chercheurs de Mandiant ont comparé l’outil, qu’il a appelé Incontroller, à Triton, qui a été impliqué dans une tentative de 2017 de désactiver un système de sécurité industrielle ; Industroyer, qui a provoqué une panne de courant en Ukraine en 2016 ; et Stuxnet, qui a saboté le programme nucléaire iranien en 2010.

« Une occasion unique de défendre »

De manière inhabituelle, a déclaré Lee, la découverte des outils est intervenue avant qu’ils ne soient diffusés sur les réseaux, offrant « aux défenseurs une opportunité unique de se défendre avant les attaques ».

Il a poursuivi : « Bien que la capacité malveillante soit sophistiquée, avec un large éventail de fonctionnalités, l’application de pratiques fondamentales de cybersécurité ICS telles qu’une architecture défendable, un plan de réponse aux incidents spécifique à ICS et la surveillance du réseau ICS offrent une défense solide contre cette menace.

La nouvelle fait suite à une avertissement aux entités d’infrastructures critiques de l’administration Biden pour se préparer à des cyber-attaques contre la Russie alors que le pays continue de faire la guerre à l’Ukraine.