Irongate – Un clône de Stuxnet ciblant les systèmes SCADA

0
101

Des chercheurs de FireEye ont découvert un malware empruntant des caractéristiques à Stuxnet, nommé Irongate, cible lui aussi les systèmes industriels SCADA de Siemens.

Irongate. Sous ce doux nom se cache un malware redoutable capable de prendre le contrôle des systèmes de contrôle et d’acquisition de données industriels (SCADA). Le logiciel Siemens SIMATIC S7-PLCSIM contrôlant des hardwares spécifiques à l’industrie semble directement visé par ce concept.

Voila de quoi faire frissonner le grand nombre, surtout après avoir lu l’excellent thriller Black-Out – Demain il sera trop tard de Marc Elsberg !

black-out_demain-il-sera-trop-tard

Les chercheurs de chez FireEye ont découvert ce malware complexe et sophistiqué par le biais du service de scan antivirus en ligne VirusTotal, appartenant à Google, et partageant ses données avec les nombreux éditeurs de solutions de sécurité partenaires. Josh Homan, Sean McBride, et Rob Caldwell ont dénommé ce malware « Irongate » et pensent qu’il est encore au stade de POC (Proof of Concept) et non encore actif. Mais ce dernier s’avère être un forte menace étant donné qu’il contient des fonctions proches de celles embarquées par le redoutable Stuxnet…

Irongate dispose de fonctionnalités avancées permettant notamment de lancer une attaque MiTM (man in the middle), sur le processus d’entrée/sortie du logiciel de l’opérateur, et est capable d’enregistrer le trafic par le biais de DLL malveillantes. En somme, la menace serait capable de modifier un processus à l’insu des opérateurs, ce qui peut être dramatique en termes de conséquences.

Pour parfaire le tout, Irongate est capable de passer outre (bypass) les protections de type sandbox et comprend du code anti-analyse pour éviter son analyse poussée par les chercheurs en sécurité. Si le code a un doute concernant ces points, il ne s’activera pas ! Des trojans bancaires embarquent eux aussi ce genre de technologie, mais aussi Stuxnet.

La Siemens Product Computer Emergency Readiness Team (ProductCERT) a par ailleurs confirmé que le code ne fonctionnerait pas dans un environnement standard Scada de Siemens. Découvert au second semestre 2015, Irongate avait été uploadé courant 2014 sur VirusTotal depuis plusieurs sources anonymes non identifiées, après avoir été compilé via PyInstaller. Il reprend les techniques de sabotage et le mode opératoire utilisés par le malware Stuxnet créé, selon certaines sources, par les États-Unis et Israël, pour perturber le programme nucléaire iranien. Stuxnet aurait réussi à détruire un grand nombre de centrifugeuses d’enrichissement d’uranium utilisées par l’Iran.

A ce jour, le prototype Irongate n’a pu être relié à aucun gouvernement ou groupe de cybercriminels. Espérons aussi qu’à ce jour tous les systèmes SCADA critiques soient bien isolés de l’extérieur !

 

Note : présence de lien affilié Amazon sur le livre.

Source : Le Monde Informatique