Pourquoi le ransomware Snake marque un tournant dans les cyberattaques industrielles

Snake est un ransomware (rançongiciel) d’un nouveau genre découvert début janvier, capable de neutraliser des logiciels industriels tels que des interfaces hommes-machines ou des historiques. Si sa paternité et ses première utilisations restent à éclaircir, l’existence de Snake laisse présager d’une intensification des cyberattaques industrielles. Décryptage des éléments connus à ce jour.

Partager
Pourquoi le ransomware Snake marque un tournant dans les cyberattaques industrielles

En ce début d’année 2020, la communauté cyber est en émoi : un rançongiciel (ransomware) d’un genre nouveau est dans la nature, spécialement taillé pour s’attaquer aux réseaux informatiques industriels (OT). Baptisé Snake par l’éditeur de logiciels de cyberprotecion Sentinel One, Ekans par son homologue Dragos et Snakehose par FireEye, ce ransomware a été découvert par le groupe de chercheurs en sécurité Malware Hunter Team et rendu public le 7 janvier sur Twitter par un de ses membres, Vitali Kremez – par ailleurs employé de Sentinel One.

« Les premiers échantillons du code de Snakehose envoyés sur des répertoires disponibles pour la communauté de chercheurs, comme VirusTotal, datent des 26-27 décembre », ajoute David Grout, chercheur français en sécurité chez FireEye interrogé par Industrie & Technologies.

Selon les données analysées par la firme de cybersécurité, Snake serait capable d’attaquer plus d’une centaine de services, dont environ 10% ne sont utilisés que dans les réseaux OT. Dragos, de son côté, en comptait 64 au total, dans un article de blog paru le 3 février dernier. Attention, précise David Grout, ce ne sont pas les protocoles qui sont visés mais bien les services eux-mêmes, comme c’est généralement le cas les ransomware.

Proficy, Fanuc, Honeywell et ThingWorx parmi les services ciblés

« A ma connaissance, Snakehose n’est pas spécialisé dans des protocoles purement industriels, comme Modbus ou DNP3, mais neutralise des process ou des services de vendeurs du monde industriel, comme les interfaces hommes-machines, les logiciels de gestion de logs et de backup (historians). Comme pour les ransomwares IT : ces derniers n’attaquent pas la trame TCP/IP mais plutôt des fichiers exécutifs comme Chrome.exe ou encore McAfee.exe. »

Selon Dragos, les services ciblés par Snake compteraient notamment l’historian Proficy et différents logiciels d’automatisation vendus sous la marque Fanuc de de General Electric (GE), l’interface homme-machine HMIWeb de Honeywell ou encore la plate-forme d’IoT industriel ThingWorx Industrial Connectivity Suite.

Comme les ransomwares IT, Snake s’infiltre dans les systèmes via Windows

Ecrit en Golang (ou Go-language), un langage de programmation open source, Snake s’infiltre, assez classiquement, via le système d’exploitation Windows : après avoir vérifié que le terminal n’était pas déjà infecté, il corrompt la Windows management instrumentation (WMI), le système de gestion de l’OS de Microsoft, puis neutralise Shadow Volume Copies, une application incluse dans Windows pour effectuer des sauvegardes automatiques des fichiers, même lorsqu’ils sont en cours d’utilisation.

C’est à ce moment-là que Snake peut arrêter de force les services industriels ciblés – « Un peu comme lorsque vous appuyez sur Ctrl-Alt-Suppr sur votre clavier pour fermer les applications en cours », illustre David Grout. En parallèle, Snake commence la procédure de chiffrement des données.

La compagnie pétrolière nationale de Bahrein potentielle victime

En analysant son modus operandi, Dragos a conclu que Snake avaient repris une partie du code de MegaCortex, un ransomware détecté à la mi-2019 capable de neutraliser plus de 1 000 services IT mais qui n’a, semble-t-il, pas encore fait de dégât. Néanmoins, aucune preuve que les pirates derrière Snake soient les mêmes que ceux à l’origine de MegaCortex, estime Vitali Kremez. Ce que nous confirme David Grout. A ce jour, l’attribution de Snake à un groupe cybermalveillant demeure incertaine : la firme israélienne de cybersécurité Otorio évoque un lien avec l’Iran, ce que réfute Dragos.

Quant aux dégâts présumés de Snake, là encore la communauté cyber est divisée. Sentinel One affirme qu’il a déjà été utilisé pour infiltrer les réseaux OT de la compagnie pétrolière nationale de Bahrein (Bapco). « Au vu de ce que nous avons pu analyser, cela ne semble pas être le même code », rétorque David Grout, sans en dire plus.

Maîtrise des process de l'informatique OT

« Snakehose n’est pas tout à fait le tout premier ransomware à viser les réseaux OT, poursuit le chercheur français en sécurité. Il y a eu LockerGoga en 2019 [qui a notamment infecté la société française de conseil en ingénierie Altran en janvier 2019 et le producteur norvégien d’aluminium Norsk Hydro en mars 2019, ndlr]. Mais la liste des services qu’est capable de "tuer" Snakehose est bien plus importante ! »

La découverte de ce ransomware façonné pour l’OT n’impressionne pas le chercheur par les compétences techniques qu’il demande aux pirates qui l’ont programmé – « C’est beaucoup plus facile de coder Snakehose que le malware Triton , qui requérait de se procurer les équipements et de les attaquer dans un véritable laboratoire de test », indique-t-il. Néanmoins, elle témoigne de ce que les pirates « ont agrandi leurs connaissances pour maîtriser aujourd’hui des process de l’informatique OT », remarque Christophe Lambert, directeur technique grands comptes pour l'Europe, l'Afrique et le Moyen Orient du fournisseur de solutions pour la gestion de données Cohesity.

Des industriels susceptibles de payer rapidement pour reprendre la production

Pour David Grout, l’apparition de tels ransomwares augure d’une nouvelle ère dans laquelle cyberattaquer des infrastructures industrielles va devenir monnaie courante car lucratif : « L’arrivée de ransomware comme Snakehose reflète l’appât du gain de la part des groupes cybermalveillants, qui se sont rendus compte que les victimes industrielles avaient tendance à payer plus rapidement que d’autres (collectivités territoriales, institutions financières…) pour repartir immédiatement en production. »

De quoi alerter, une fois de plus, les responsables de la sécurité numérique des groupes industriels, « encore parents pauvres de la cyber », insiste Christophe Lambert.

SUR LE MÊME SUJET

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Dans ce nouvel épisode de « Demain dans nos assiettes », notre journaliste reçoit Frédéric Wallet. Chercheur à l'Inrae, il est l'auteur de Manger Demain, paru aux...

Écouter cet épisode

La fin du charbon en Moselle

La fin du charbon en Moselle

Dans ce nouvel épisode de La Fabrique, Cécile Maillard nous emmène à Saint Avold, en Moselle, dans l'enceinte de l'une des trois dernières centrales à charbon de...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

VILLE DE CALLAC

Technicien des Services Techniques H/F

VILLE DE CALLAC - 31/03/2022 - CDD - CALLAC DE BRETAGNE

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

80 - MONTDIDIER

Etudes géotechniques pour la déconnexion de 25HA de surfaces actives du système de collecte de Montdidier en amont du DO13.

DATE DE REPONSE 20/06/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS