Le malware Triton gruge la sûreté des systèmes industriels

Des chercheurs ont découvert une attaque menée par un malware nommé Triton qui cible les équipements de sûreté de systèmes industriels. Derrière cette offensive, les soupçons portent sur un support étatique.

Triton pour Mandiant ou Trisis pour Drago, quel que soit son nom, ce malware n’est pas une menace anecdotique. En effet, il est capable de cibler les équipements industriels et en particulier les contrôleurs de la solution de systèmes instrumentés de sûreté (SIS) Triconex de Schneider Electric. Ceux-ci sont intégrés dans les installations industrielles et les lignes de production. Ils sont capables de collecter et d’analyser des données des équipements comme des machines industrielles, des robots, des vannes, des moteurs, etc. Les contrôleurs Triconex s’assurent que l’équipement industriel marche selon des paramètres prédéterminés. En cas d’anomalies, ils peuvent aller jusqu’à arrêter complétement une usine ou une ligne de production.

Dans le cas présent, le ou les pirates ont ciblé une société (dont le nom n’a pas été donné. Symantec évoque une firme au Moyen-Orient), avec Triton maquillé en logiciel de gestion des contrôleurs sur les postes de travail Windows. Ce logiciel pouvait lire les fichiers de configuration sur le poste de travail, identifier les contrôleurs et déployer des charges utiles. Ces dernières ont comme finalité d’arrêter le processus de production ou de rendre dangereuses les machines infectées.

Un Etat, en support derrière Triton

Pour Mandiant, propriété de Fire Eye, « il n’y a pas de connexion avec de acteurs connus et suivis, mais nous considérons avec un degré modéré de confiance qu’une organisation soutenue par un Etat soit derrière cette attaque ». Le faisceau de présomptions porte sur la persistance de l’attaquant, l’absence de demande de rançon et les besoins en ressources techniques.

Dans son rapport, Mandiant précise que les cybercriminels ont un haut degré de connaissances et étaient très motivés pour faire des dégâts. Triton a été déployé immédiatement après avoir eu accès au poste de travail comprenant les accès aux contrôleurs. Une rapidité qui laisse à penser que les pirates avaient testé préalablement le malware et souhaitait l’activer rapidement. Autre point, le malware comprend un mécanisme pour effacer ses traces. Enfin dernier élément, le PC infecté est généralement sur une zone de confiance (DMZ), sur un réseau isolé. Le malware est actif depuis septembre précise Symantec dans son rapport.

Du côté de Dragos, on évoque « un tournant », car d’autres personnes peuvent copier et essayer cette attaque.  Les offensives sur les systèmes industriels augmentent d’année en année. On se rappelle l’affaire BlackEnergy en Ukraine mettant à mal le système énergétique du pays. Stuxnet avait été le précurseur et l’avertisseur sur ce type de menace. En France, l’ANSSI a pris plusieurs initiatives pour protéger les systèmes industriels. Il est probable qu’en 2018, on entende parler de manière plus répétée de la sécurité des systèmes industriels.

Photo on Visualhunt

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s