Le cryptojacking s’invite dans les systèmes industriels

Des chercheurs ont découvert un logiciel de minage de monnaie virtuelle chez un opérateur chargé de la distribution d’eau, basé en Europe. Il ‘agit du premier cas de cryptojacking touchant un système industriel.

Le phénomène de cryptojacking se déploie très vite. Sites web, serveurs Oracle, publicité sur YouTube, les mineurs de monnaies virtuelles se cachent vraiment partout. Ils viennent de faire leur apparition au sein des systèmes industriels. La société Radiflow a découvert un cryptomineur dans le réseau d’un opérateur de distribution d’eau en Europe. Le nom de la société a été gardé secret. Il s’agit de la première fois que ce type d’attaque impacte les ICS (Industrial Control System) ou les serveurs SCADA d’un opérateur d’importance vitale (ainsi qualifié en France).

Une infection via Internet

Dans leur enquête, les experts de Radiflow ont trouvé que le mineur de cryptomonnaies était présent sur le réseau du distributeur d’eau depuis au moins 3 semaines. Comment a t’il fait pour arriver sur le réseau ? Selon les premières analyses, un employé du distributeur d’eau aurait ouvert un navigateur et cliquer sur une bannière publicitaire corrompue. L’environnement de contrôle est indirectement connecté à Internet pour la surveillance à distance.

Le premier maillon à avoir été infecté est l’interface homme-machine (HMI) puis le réseau SCADA, fonctionnant sous Windows XP. Pour mémoire, cet OS ne reçoit plus de mises à jour de sécurité (sauf paiement d’une extension très onéreuse) depuis avril 2014. Beaucoup de systèmes industriels et d’environnements SCADA fonctionnent encore sous Windows XP et leurs mises à jour relèvent du parcours du combattant et du casse-tête pour les DSI.

Un malware persistant et furtif

Le code malveillant découvert minait du Monero, un concurrent de Bitcoin. Comme dans les autres cas, le mineur utilise la ressource CPU du serveur et la bande passante pour effectuer ses tâches. Cet abus de ressources a un impact non négligeable sur les temps de réponses des systèmes de contrôles du réseau. En cas de problème opérationnel, les alertes du HMI et des serveurs SCADA vont se déclencher avec du retard. On se retrouve alors dans un cas de sabotage.

Le malware a été conçu pour être furtif en désactivant des outils de sécurité. Il avait aussi vocation à être persistant, car le minage est une tâche rémunératrice mais sur le long terme. Cette attaque montre qu’un effort particulier sur la détection doit être mené sur les outils de contrôle des systèmes industriels.

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s