Le gouvernement américain a mis en garde mercredi contre les acteurs des États-nations qui déploient des logiciels malveillants spécialisés pour maintenir l’accès aux systèmes de contrôle industriels (ICS) et aux dispositifs de contrôle et d’acquisition de données (SCADA).
« Les acteurs APT ont développé des outils sur mesure pour cibler les dispositifs ICS/SCADA », plusieurs agences américaines mentionné dans une alerte. « Les outils leur permettent de rechercher, de compromettre et de contrôler les appareils concernés une fois qu’ils ont établi un accès initial au réseau de technologie opérationnelle (OT) ».
L’avis fédéral conjoint est une gracieuseté du Département américain de l’énergie (DoE), de la Cybersecurity and Infrastructure Security Agency (CISA), de la National Security Agency (NSA) et du Federal Bureau of Investigation (FBI).
Les outils sur mesure sont spécifiquement conçus pour distinguer les contrôleurs logiques programmables (PLC) Schneider Electric, les PLC OMRON Sysmac NEX et les serveurs Open Platform Communications Unified Architecture (OPC UA).
En plus de cela, les acteurs anonymes auraient la capacité d’infiltrer les postes de travail d’ingénierie basés sur Windows sur les réseaux informatiques et OT en utilisant un exploit qui compromet un pilote de carte mère signé ASRock avec vulnérabilités connues (CVE-2020-15368).
L’intention, selon les agences, est de tirer parti de l’accès aux systèmes ICS pour élever les privilèges, se déplacer latéralement au sein des réseaux et saboter les fonctions critiques dans les environnements de gaz naturel liquéfié (GNL) et d’énergie électrique.
La société de cybersécurité industrielle Dragos, qui traque le malware sous le nom « PIPEDREAM » depuis début 2022, l’a décrit comme un « cadre d’attaque ICS modulaire qu’un adversaire pourrait exploiter pour provoquer des perturbations, des dégradations et peut-être même des destructions en fonction des cibles et de l’environnement ».
Le PDG de Dragos, Robert M. Lee attribué le malware à un acteur étatique surnommé CHERNOVITE, évaluant avec une grande confiance que la boîte à outils destructrice n’a pas encore été utilisée dans des attaques réelles, ce qui en fait peut-être la première fois « qu’une cyber-capacité industrielle a été trouvée * avant * son déploiement à des fins prévues effets. »
PIPEDREAM fonctionnalités un ensemble de cinq composants pour atteindre ses objectifs, lui permettant d’effectuer des reconnaissances, de détourner des dispositifs cibles, de falsifier la logique d’exécution des contrôleurs et de perturber les automates, entraînant effectivement « une perte de sécurité, de disponibilité et de contrôle d’un environnement industriel ».
Le malware polyvalent est également connu pour tirer parti de CODESYS, un environnement de développement tiers pour la programmation d’applications de contrôleur et qui a été découvert pour contenir jusqu’à 17 vulnérabilités de sécurité différentes au cours de la seule année écoulée.
« Les capacités de reprogrammation et de désactivation potentielle des contrôleurs de sécurité et d’autres contrôleurs d’automatisation des machines pourraient alors être exploitées pour désactiver le système d’arrêt d’urgence et ensuite manipuler l’environnement opérationnel dans des conditions dangereuses », a averti Dragos.
Coïncidant avec la divulgation, un autre rapport de la société de renseignements sur les menaces Mandiant, qui a découvert ce qu’elle appelle un « ensemble de nouveaux outils d’attaque orientés système de contrôle industriel (ICS) » visant les dispositifs d’automatisation des machines de Schneider Electric et Omron.
Le logiciel malveillant parrainé par l’État, qu’il a nommé INCONTROLEURest conçu pour « interagir avec des équipements industriels spécifiques intégrés dans différents types de machines exploitées dans plusieurs industries » au moyen de protocoles de réseau industriel tels que OPC UA, Modbus et CODESYS.
Cela dit, on ne sait pas encore comment les agences gouvernementales ainsi que Dragos et Mandiant ont trouvé le malware. Les découvertes surviennent un jour après que la société slovaque de cybersécurité ESET a détaillé l’utilisation d’une version améliorée du malware Industroyer dans une cyberattaque ratée dirigée contre un fournisseur d’énergie anonyme en Ukraine la semaine dernière.
» INCONTRÔLANT [aka PIPEDREAM] représente une capacité de cyberattaque exceptionnellement rare et dangereuse », a déclaré Mandiant. « Il est comparable à Triton, qui a tenté de désactiver un système de sécurité industrielle en 2017 ; Industroyer, qui a provoqué une panne de courant en Ukraine en 2016 ; et Stuxnet, qui a saboté le programme nucléaire iranien vers 2010. »
Pour atténuer les menaces potentielles et sécuriser les dispositifs ICS et SCADA, les agences recommandent aux organisations d’appliquer l’authentification multifacteur pour l’accès à distance, de changer périodiquement les mots de passe et de rechercher en permanence les indicateurs et comportements malveillants.