Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Infiltration des centrales énergétiques : autopsie d’une cyberguerre furtive

mars 2019 par Julien Cassignol, Ingénieur Avant-Ventes, chez One Identity

Comment des hackers parviennent-ils à s’infiltrer dans les systèmes d’opération des centrales énergétiques ? Julien Cassignol, Ingénieur avant-ventes de One Identity et spécialiste de la gestion des accès et identités, nous décrit les techniques de ces attaques.

Un rapport des autorités américaines détaillait récemment comment des
cyber-assaillants a priori liés à une puissance étrangère parviennent à
s’infiltrer jusqu’aux commandes des centrales énergétiques, réputées
inaccessibles.

Des hackers supposés travailler pour des puissances étrangères infiltrent sans
doute en ce moment-même les réseaux informatiques de centrales occidentales de
production d’énergie, malgré les garde-fous excessivement sophistiqués censés
les protéger (firewalls, antivirus...). C’est la conclusion à laquelle sont
arrivées les autorités britanniques
, mais également américaines, suisses et
turques qui ont repéré depuis 2017 l’intrusion d’un groupe de hackers sur les
infrastructures de leurs fournisseurs d’énergie
. Ce groupe, a été nommé,
DragonFly.

En mars 2018, le FBI et le Département de la Sécurité Intérieure américain
(DHS) ont publié un rapport très détaillé sur certaines de ces infiltrations
.
Selon celui-ci, les assaillants sont parvenus jusqu’aux consoles informatiques
directement reliées aux systèmes d’opération industriels (alias OT, pour
Operation Technology) qui monitorent et pilotent les chaînes de production.

Comment des hackers parviennent-ils à pirater des systèmes d’opération qui ne
sont même pas accessibles depuis Internet ? Selon le rapport du FBI et du DHS, les
hackers de DragonFly ont une tactique d’infiltration aussi méticuleuse
qu’ingénieuse. Elle passe par l’exploitation très imaginative des systèmes
d’information.

Étape 1 : La reconnaissance

En premier lieu, les pirates mènent une mission de reconnaissance. Afin de cibler
au mieux leurs attaques, ils récupèrent depuis les sites publics d’entreprises
du secteur de l’énergie toutes les informations susceptibles d’indiquer des
processus ou des habitudes particulières. Ils vont par exemple trouver une photo
sur le site d’un service de ressources humaines qui, une fois agrandie, montre
dans son décors quels équipements industriels, et même quels modèles précis,
sont utilisés. Les pirates vont jusqu’à télécharger le code source entier de
certains sites web afin de lire les informations les moins visibles.

Ces informations servent à injecter de la crédibilité dans toute une succession
d’e-mails que le pirate va adresser à des individus liés à l’industriel
visé. L’intérêt de gagner leur confiance est de les faire tomber dans le piège
de livrer leurs mots de passe et leurs identifiants. Cette tactique s’appelle le
Spear phishing. L’enjeu du pirate est de récupérer le compte e-mail d’une
victime, ce qui lui permet de se faire passer pour elle auprès d’une personne un
peu plus méfiante, et d’obtenir l’accès à un poste interne.

Étape 2 : s’infiltrer chez un fournisseur avec des pièces attachées inoffensives

Tout l’art du pirate est de commencer petit. Son premier destinataire est une
personne qui n’a qu’un lointain rapport avec sa cible ; un fournisseur
d’équipement industriel, par exemple. Il lui fait parvenir un e-mail avec une
pièce attachée inoffensive, typiquement une candidature avec le fichier Word
d’un CV. Ce fichier Word présente la particularité, dès son ouverture,
d’aller télécharger un paramètre de mise en forme tout aussi inoffensif sur le
serveur du pirate, selon le protocole informatique SMB qui sert à partager des
fichiers et, ce, au travers des ports réseau TCP 445 ou 139. A cause de ce
fonctionnement particulier, l’empreinte chiffrée de l’identifiant et du mot de
passe de la machine de la victime est notifiée sur le serveur du pirate, lequel
dispose a priori d’outils pour déchiffrer cette empreinte.

Étape 3 : Piéger des sites web fréquentés par les industriels

Les identifiants acquis précédemment servent au pirate à modifier le contenu du
site web commercial de ce fournisseur. Il se contente d’ajouter dans le code
source de ses pages une image invisible. Celle-ci se télécharge encore une fois
via SMB, depuis le serveur du pirate, en indiquant au passage l’empreinte des
identifiants de l’internaute qui la visualise depuis son navigateur. Il n’a plus
qu’à attendre qu’un salarié de l’industriel visite une de ces pages pour
connaître son identité. Cette tactique, qui consiste à piéger les pages
inoffensives (celles avec du contenu marketing ou de la documentation technique, le
plus souvent) se nomme l’attaque du point d’eau, ou Watering hole, en anglais.

Étape 4 : Se faire passer pour plusieurs collaborateurs de l’industriel

Avec l’identifiant acquis, le pirate envoie un e-mail à un collaborateur plus
proche de l’industriel, typiquement une personne en charge des achats, via un
compte e-mail qui imite le nom du malheureux salarié qui s’est prendre par le
site web infecté. Le pirate demande généralement dans cette nouvelle missive de
valider un accord de confiance, accessible via un lien qui oblige le destinataire à
entrer son adresse e-mail et son mot de passe.

A ce stade, le pirate possède les identifiants qui lui permettent d’utiliser le
véritable compte e-mail d’un salarié interne. Cela signifie qu’il gagne encore
en crédibilité auprès de ses futurs destinataires (il va par exemple se servir
d’un e-mail aux achats pour écrire au service informatique). Le pirate répétera
suffisamment de fois cette tactique de Spear phishing pour avancer à tâtons
jusqu’à des responsables qui ont un accès à une partie du réseau
intéressante, mais sans trop exagérer non plus pour ne pas que son infiltration
finisse par éveiller les soupçons.

Étape 5 : envoyer une pièce jointe infectée pour se positionner sur un PC interne

Un compte e-mail interne permet surtout au pirate de joindre un malware à ses
e-mails sans risquer que celui-ci soit intercepté par les firewalls périmétriques
de l’industriel.

Lors de la cyberattaque documentée par le FBI et le DHS, le malware consistait en
un script portant le nom d’un éditeur d’antivirus connu (symantec_help.jsp) et
sa fonction était d’installer un autre script parmi les outils que cet antivirus
lance au démarrage (C :\Program Files (x86)\Symantec\Symantec Endpoint Protection
Manager\tomcat\webapps\ROOT\). Ce nouveau script, appelé « enu.cmd » avait pour
fonction de créer un nouveau compte administrateur sur la machine de la victime. La
tactique est sophistiquée : elle tient compte d’une dénomination des
administrateurs en français, en anglais, en espagnol, en italien et en allemand.
Une fois les droits d’administration obtenus par le script, celui-ci désactivait
le firewall interne et ouvrait le port 3389 afin d’autoriser un accès RDP,
c’est-à-dire une porte grande ouverte pour que le pirate puisse utiliser ce poste
de travail à distance comme s’il s’agissait du PC qu’il a en face de lui.
Pour tromper la vigilance d’un informaticien, ce compte administrateur était
présenté comme un compte destiné aux sauvegardes.

Étape 6 : Déménager tout un attirail de cyberguerre sur le PC interne

Grâce à l’accès distant RDP, le pirate déploie des des logiciels open source
pour déchiffrer tous les mots de passe de l’utilisateur (Hydra, SecretsDump,
CrackMapExec…) mais aussi pour prendre le contrôle de la machine (langage
Python…). Pour passer inaperçus, ces logiciels étaient téléchargés avec
l’extension « .txt » comme s’il s’agissait d’inoffensifs documents, puis
renommés avec l’extension « .exe » qui leur permet de s’exécuter. Enfin, le
pirate a créé un autre compte administrateur qui ne sert qu’à effacer toutes
ses traces régulièrement.

Étape 7 : à l’assaut du réseau jusqu’aux équipements SCADA

Toujours depuis ce PC, le pirate se crée un compte Microsoft Exchange valide dans
le nom de domaine de l’industriel ; pour parfaire l’illusion, il décline
l’identité du propriétaire de ce poste de travail, comme si celui-ci avait un
compte de secours. Avec cette clé pour le réseau interne, il scanne les stockages
partagés et y crée des raccourcis portant des noms classiques (notepade.exe,
Documents, desktop.ini, etc.), mais pointant toujours en SMB vers son serveur. Avec
les identifiants récoltés lorsque des salariés cliquent sur ces icônes, le
pirate obtient les accès à d’autres machines du réseau, parmi lesquelles le
contrôleur de domaine. Les registres systèmes de celui-ci lui permettent de lister
toutes les machines et tous les administrateurs systèmes de l’industriel. Au bout
d’un moment, le pirate obtient enfin l’accès à des stations de travail qui
monitorent et pilotent les systèmes SCADA et ICS de l’infrastructure
industrielle.

Etape 8 : dévaliser les schémas industriels

Pour passer inaperçu, le pirate a créé des tunnels VPN entre chacune des machines
auxquelles il a eu accès afin que ses flux ne soient pas visibles du reste du
réseau. Ces tunnels VPN servent essentiellement à récolter des captures
d’écrans des postes utilisateurs, lesquelles se déclenchent automatiquement via
des versions contrefaites des outils Windows et qui poussent l’imitation
jusqu’à avoir la même empreinte MD5 qu’eux. Parmi ces captures d’écrans, le
FBI et le DHS ont remarqué que le pirate a notamment pu récupérer les schémas de
fonctionnement des centrales issus des consoles graphiques que les opérateurs
utilisent pour superviser leurs infrastructures SCADA et ICS.

Et ensuite ? Selon le FBI et le DHS, les pirates n’ont a priori pas installé le
virus Industroyer, capable de désactiver la distribution d’électricité,
déclencher des pannes et même causer des préjudices importants aux équipements.
Mais même s’il ne s’agit que d’espionnage industriel, les informations
récoltées sont suffisantes pour saboter physiquement les centrales d’énergie à
l’avenir. Un tel scénario s’est déjà déroulé fin 2015, quand la
cyberattaque BlackEnergy a plongé dans le noir plusieurs dizaines de milliers de
foyers et de bureaux ukrainiens pendant six heures
. Reste à savoir si le
Royaume-Uni, les USA, la Suisse, la Turquie ou tout autre État passé sous les
radars, essuieront un Black-out.


Voir les articles précédents

    

Voir les articles suivants