Industroyer : un malware conçu pour prendre le contrôle des lignes électriques
Est celui qui a récemment plongé Kiev dans le noir

Le , par Patrick Ruiz, Chroniqueur Actualités
« La panne d’énergie électrique survenue à Kiev le mois dernier a été causée par une cyberattaque. Nos enquêteurs sont à pied d’œuvre pour établir les responsabilités », a, en janvier dernier, déclaré un porte-parole d’Ukrenergo - l’opérateur ukrainien d’énergie électrique - au micro de l’agence de presse Reuters. Le contexte aidant, les regards avaient alors été rapidement dirigés sur la Russie. La firme de sécurité Eset a mené ses enquêtes en parallèle et affirme avoir trouvé des échantillons d’un malware qui, de par ce qu’il exhibe comme caractéristiques techniques, est le parfait candidat pour mener des opérations de ce type.



« Industroyer est une menace particulièrement dangereuse puisqu’elle peut permettre à des attaquants de prendre le contrôle d’un poste électrique », peut-on lire dans la publication de la firme. D’après ce qui ressort de la publication de la firme, le malware est basé sur quatre modules développés pour permettre au malware de communiquer sur le réseau électrique à l’aide des protocoles IEC 60870-5-101, IEC 60870-5-104, IEC 61850 et OPC DA, ce qui d’après les chercheurs fait de ce malware une singularité par rapport à d’autres. Son composant central est une porte dérobée qui permet aux attaquants de prendre le contrôle de l’infrastructure de réseau électrique depuis un serveur Tor.

Les chercheurs de la firme font état de ce que les protocoles mentionnés n’ont pas été conçus en prenant en compte des considérations de sécurité, toutes choses qui ont rendu la tâche de développement aisée pour les hackers qui n’avaient alors qu’à lui enseigner à « parler le langage du réseau électrique ». La dangerosité du malware en est ainsi grandement accrue et les chercheurs de la firme sont même d’avis qu’il pourrait être aisément utilisé sur d’autres infrastructures de réseau utilisant certains de ces protocoles. Le malware est même, au vu de ses caractéristiques techniques, considéré par les chercheurs de la firme comme le candidat idéal pour attaquer de nombreux systèmes industriels.

Les chercheurs de la firme se veulent clairs quant à la connexion de l’incident survenu sur les lignes électriques de Kiev avec ce malware lorsqu’ils déclarent qu' « il est fort probable qu’Industroyer a été utilisé lors de l’attaque contre le réseau électrique ukrainien en décembre 2016. Au-delà du fait qu’il possède les caractéristiques techniques nécessaires pour mener ce type d’attaque, on peut noter le fait que sa date d’activation coïncide avec le jour où la panne s’est produite sur le réseau ukrainien. »

Source : Reuters, ESET

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Le malware Hajime est capable de sécuriser des objets connectés visés par le malware Mirai mais pourrait également servir à des desseins funestes
Linux infecté par une variante de Turla, un malware sophistiqué utilisé depuis des années pour espionner 45 États
Cybersécurité : le malware Fireball vient de Chine et a déjà infecté un minimum de 250 millions d'ordinateurs, d'après Check Point


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 13/06/2017 à 10:00
Du coup on peut se poser la question : pourquoi s'emmerder avec la recherche dans les EMPs quand les réseaux électriques exposent publiquement (ou presque) une API qui permette un contrôle total ?

Une autre question qu'on pourrait se poser est : pourquoi exposer une fonction backToMiddleAge() sur ce genre de réseaux critiques ? Çà ne peut pas être une simple question de coût ou d'incompétence (il y a forcément des gens compétents dans le milieu)...

Vivement que ce genre de chose soit récompensé par une lourde peine de prison, ça poussera peut être les gens à bosser correctement...
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 13/06/2017 à 17:59
le problème actuel de la plus part des équipements, c'est l'administration a distance qui peu être détourné a des mauvaises fin.

la question est plutôt, peux t'on s'en passer ?
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 13/06/2017 à 19:39
Citation Envoyé par Aiekick  Voir le message
la question est plutôt, peux t'on s'en passer ?

A priori on avait un réseau électrique fonctionnel avant d'avoir Internet, du coup j'aurais tendance à penser que oui.

L’administration à distance c'est bien, c'est pratique, mais ça vient au détriment de la sécurité.

Les services de renseignement ne stockent pas leurs dossiers sur le Cloud, pourtant c'est pratique.
Ce sont les seuls à comprendre que la sécurité n'existe pas sur Internet ?
Offres d'emploi IT
Ingénieur Développement logiciel (Model based) H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Responsable développement logiciel Drone H/F
Safran - Ile de France - Éragny (95610)
Architecte Sécurité H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil