crashoverride, crash override malware

Back in Black – ou comment un virus pourrait nous plonger dans le noir

Les logiciels malveillants peuvent aller plus loin que la prise en otage de votre appareil contre rançon : ils sont capables de paralyser l’intégralité de la distribution électrique d’une ville. Les nouveaux malware ciblent les infrastructures de distribution électrique, selon les analystes. Cette première attaque pourrait bien être annonciatrice de ce qui nous attend à l’avenir.

Le logiciel malveillant Industroyer ou Crash Override est apparu pour la première fois fin 2016 lorsqu’il a rayé du réseau électrique pendant quelques heures près de 700 000 foyers aux abords de la ville de Kiev, en Ukraine. Ça, c’était la bonne nouvelle. La mauvaise, c’est qu’il maîtrise visiblement la gestion du réseau électrique, est capable d’envoyer des commandes malveillantes vers les équipements critiques et, une fois configuré et déployé, peut être disséminé sans aucune intervention humaine directe.

C’est l’histoire d’un interrupteur qui dissimule un SCADA…

Cette attaque a ciblé plusieurs protocoles SCADA utilisés en Europe. SCADA est l’acronyme de Supervisory Control And Data Acquisition (système d’acquisition et de contrôle de données). Il s’agit du système de contrôle matériel et logiciel à la base d’une grande majorité de processus industriels. Une fois activé, le logiciel malveillant Crash Override passe au travers d’une série d’adresses de disjoncteurs, les déclenche et répète la procédure.

Le ciblage des protocoles SCADA n’a rien de véritablement surprenant. Datant de la croisée des ères de la commande manuelle et des frameworks d’instrumentation, ils ont été décrits comme « de conception précaire » par les experts. Les efforts de sécurisation des protocoles SCADA s’apparentent à l’application d’un sparadrap sur une plaie critique.

Une attaque précédente sur le réseau électrique, également en Ukraine, avait induit une réponse dipolaire du secteur s’attachant à prévenir les attaques ultérieures et, essentiellement, rétablir rapidement le bon fonctionnement des installations en ligne.

Pirates (consciencieux) à l’œuvre

Les enquêteurs n’ont pas pu déterminer l’origine exacte de ce logiciel malveillant, bien que certains doigts pointent résolument vers la Russie. Ils sont cependant sûrs d’une chose : ces pirates là ont travaillé minutieusement, sans recycler d’ancien code ni laisser d’empreintes compromettantes, et on peut s’attendre à plus. Il y a eu trop de ressources impliquées dans la création de ce malware pour qu’il s’agisse d’un événement isolé. Par ailleurs, le code intègre des fonctionnalités et des ressources qui n’ont même pas été activées cette fois-ci. Les enquêteurs misent ici sur une démonstration de faisabilité (preuve de concept ou POC), afin de se faire la main avant de passer à une cible réelle.

Considérations branchées

La grande majorité d’entre nous, moi y compris, n’a aucune connaissance solide sur les complexités des systèmes haute tension. Cependant, trois points sont applicables à tout un chacun dans la sphère connectée.

  1. Cela peut vous arriver : la simple prise de conscience que des événements indésirables peuvent se produire est essentielle, pour les responsables d’installations comme pour les individus.
  2. Soyez préparés pour les mauvaises surprises : la prévention ou la limitation des dommages implique un plan d’action. Concernant ce logiciel malveillant, Dragos recommande des sauvegardes robustes des fichiers d’ingénierie. Pour l’utilisateur lambda, toute bonne préparation nécessite de combiner sauvegardes régulières des fichiers, installation d’un logiciel antivirus et mise à jour périodique des logiciels.
  3. Restez impliqué : la dernière ligne du rapport Dragos indique « Human defenders are required » (des moyens de défense humains sont requis). Cela reste vrai pour votre sécurité en ligne en général. La meilleure défense contre les attaques relevant du piratage psychologique ou du harponnage personnalisé, c’est vous.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.