Tout le dossier Tout le dossier
-
Cloud computing
[Dossier] Bosch met les bouchées doubles dans la 5G pour son usine de Worcester
-
Technos Cybersécurité
Pourquoi le ransomware Snake marque un tournant dans les cyberattaques industrielles
-
Technos Cybersécurité
Face à la hausse des cyber-menaces, le pape de la sécurité numérique publie son répertoire des techniques de hacking industriel
-
Production
Grâce à la technologie IO-Link, Ifm electronic veut devenir un champion du logiciel d'automatisation
-
Aéronautique
Des robots pour l'A320 : Airbus pousse l'automatisation à Hambourg
-
Production
« L’automatisation de l’industrie française est trop lente ! », déplorent le Gimelec et le Symop
Pourquoi le ransomware Snake marque un tournant dans les cyberattaques industrielles
Snake est un ransomware (rançongiciel) d’un nouveau genre découvert début janvier, capable de neutraliser des logiciels industriels tels que des interfaces hommes-machines ou des historiques. Si sa paternité et ses première utilisations restent à éclaircir, l’existence de Snake laisse présager d’une intensification des cyberattaques industrielles. Décryptage des éléments connus à ce jour.
En ce début d’année 2020, la communauté cyber est en émoi : un rançongiciel (ransomware) d’un genre nouveau est dans la nature, spécialement taillé pour s’attaquer aux réseaux informatiques industriels (OT). Baptisé Snake par l’éditeur de logiciels de cyberprotecion Sentinel One, Ekans par son homologue Dragos et Snakehose par FireEye, ce ransomware a été découvert par le groupe de chercheurs en sécurité Malware Hunter Team et rendu public le 7 janvier sur Twitter par un de ses membres, Vitali Kremez – par ailleurs employé de Sentinel One.
« Les premiers échantillons du code de Snakehose envoyés sur des répertoires disponibles pour la communauté de chercheurs, comme VirusTotal, datent des 26-27 décembre », ajoute David Grout, chercheur français en sécurité chez FireEye interrogé par Industrie & Technologies.
Selon les données analysées par la firme de cybersécurité, Snake serait capable d’attaquer plus d’une centaine de services, dont environ 10% ne sont utilisés que dans les réseaux OT. Dragos, de son côté, en comptait 64 au total, dans un article de blog paru le 3 février dernier. Attention, précise David Grout, ce ne sont pas les protocoles qui sont visés mais bien les services eux-mêmes, comme c’est généralement le cas les ransomware.
Proficy, Fanuc, Honeywell et ThingWorx parmi les services ciblés
« A ma connaissance, Snakehose n’est pas spécialisé dans des protocoles purement industriels, comme Modbus ou DNP3, mais neutralise des process ou des services de vendeurs du monde industriel, comme les interfaces hommes-machines, les logiciels de gestion de logs et de backup (historians). Comme pour les ransomwares IT : ces derniers n’attaquent pas la trame TCP/IP mais plutôt des fichiers exécutifs comme Chrome.exe ou encore McAfee.exe. »
Selon Dragos, les services ciblés par Snake compteraient notamment l’historian Proficy et différents logiciels d’automatisation vendus sous la marque Fanuc de de General Electric (GE), l’interface homme-machine HMIWeb de Honeywell ou encore la plate-forme d’IoT industriel ThingWorx Industrial Connectivity Suite.
Comme les ransomwares IT, Snake s’infiltre dans les systèmes via Windows
Ecrit en Golang (ou Go-language), un langage de programmation open source, Snake s’infiltre, assez classiquement, via le système d’exploitation Windows : après avoir vérifié que le terminal n’était pas déjà infecté, il corrompt la Windows management instrumentation (WMI), le système de gestion de l’OS de Microsoft, puis neutralise Shadow Volume Copies, une application incluse dans Windows pour effectuer des sauvegardes automatiques des fichiers, même lorsqu’ils sont en cours d’utilisation.
C’est à ce moment-là que Snake peut arrêter de force les services industriels ciblés – « Un peu comme lorsque vous appuyez sur Ctrl-Alt-Suppr sur votre clavier pour fermer les applications en cours », illustre David Grout. En parallèle, Snake commence la procédure de chiffrement des données.
La compagnie pétrolière nationale de Bahrein potentielle victime
En analysant son modus operandi, Dragos a conclu que Snake avaient repris une partie du code de MegaCortex, un ransomware détecté à la mi-2019 capable de neutraliser plus de 1 000 services IT mais qui n’a, semble-t-il, pas encore fait de dégât. Néanmoins, aucune preuve que les pirates derrière Snake soient les mêmes que ceux à l’origine de MegaCortex, estime Vitali Kremez. Ce que nous confirme David Grout. A ce jour, l’attribution de Snake à un groupe cybermalveillant demeure incertaine : la firme israélienne de cybersécurité Otorio évoque un lien avec l’Iran, ce que réfute Dragos.
Quant aux dégâts présumés de Snake, là encore la communauté cyber est divisée. Sentinel One affirme qu’il a déjà été utilisé pour infiltrer les réseaux OT de la compagnie pétrolière nationale de Bahrein (Bapco). « Au vu de ce que nous avons pu analyser, cela ne semble pas être le même code », rétorque David Grout, sans en dire plus.
Maîtrise des process de l'informatique OT
« Snakehose n’est pas tout à fait le tout premier ransomware à viser les réseaux OT, poursuit le chercheur français en sécurité. Il y a eu LockerGoga en 2019 [qui a notamment infecté la société française de conseil en ingénierie Altran en janvier 2019 et le producteur norvégien d’aluminium Norsk Hydro en mars 2019, ndlr]. Mais la liste des services qu’est capable de "tuer" Snakehose est bien plus importante ! »
La découverte de ce ransomware façonné pour l’OT n’impressionne pas le chercheur par les compétences techniques qu’il demande aux pirates qui l’ont programmé – « C’est beaucoup plus facile de coder Snakehose que le malware Triton , qui requérait de se procurer les équipements et de les attaquer dans un véritable laboratoire de test », indique-t-il. Néanmoins, elle témoigne de ce que les pirates « ont agrandi leurs connaissances pour maîtriser aujourd’hui des process de l’informatique OT », remarque Christophe Lambert, directeur technique grands comptes pour l'Europe, l'Afrique et le Moyen Orient du fournisseur de solutions pour la gestion de données Cohesity.
Des industriels susceptibles de payer rapidement pour reprendre la production
Pour David Grout, l’apparition de tels ransomwares augure d’une nouvelle ère dans laquelle cyberattaquer des infrastructures industrielles va devenir monnaie courante car lucratif : « L’arrivée de ransomware comme Snakehose reflète l’appât du gain de la part des groupes cybermalveillants, qui se sont rendus compte que les victimes industrielles avaient tendance à payer plus rapidement que d’autres (collectivités territoriales, institutions financières…) pour repartir immédiatement en production. »
De quoi alerter, une fois de plus, les responsables de la sécurité numérique des groupes industriels, « encore parents pauvres de la cyber », insiste Christophe Lambert.
Sélectionné pour vous
SUR LE MÊME SUJET
Pourquoi le ransomware Snake marque un tournant dans les cyberattaques industrielles
Tous les champs sont obligatoires
0Commentaire
RéagirPARCOURIR LE DOSSIER
