Plusieurs agences gouvernementales américaines ont publié mercredi une alerte conjointe avertissant de la découverte de cyber-outils malveillants créés par des acteurs de menaces avancées anonymes qui, selon elles, étaient capables d’obtenir un “accès complet au système” à plusieurs systèmes de contrôle industriels.
L’alerte publique des départements de l’énergie et de la sécurité intérieure, du FBI et de la National Security Agency n’a pas nommé les acteurs ni fourni de détails sur la découverte. Mais leurs partenaires de cybersécurité du secteur privé ont déclaré que les preuves suggèrent que la Russie est derrière les outils – et qu’ils ont été configurés pour cibler initialement les préoccupations énergétiques nord-américaines.
L’une des entreprises de cybersécurité impliquées, Mandiant, a déclaré dans un rapport que la fonctionnalité des outils était « compatible avec les logiciels malveillants utilisés lors des précédentes attaques physiques de la Russie », bien qu’elle ait reconnu que les preuves le liant à Moscou sont « largement circonstancielles ».
Il a qualifié les outils “d’exceptionnellement rares et dangereux”.
Le PDG d’un autre partenaire gouvernemental, Robert M Lee de Dragos, a convenu qu’un acteur étatique avait presque certainement conçu le logiciel malveillant, qui, selon lui, était configuré pour cibler initialement les sites de gaz naturel liquéfié et d’électricité en Amérique du Nord.
Lee a renvoyé les questions sur l’identité de l’acteur étatique au gouvernement américain et n’a pas expliqué comment le logiciel malveillant a été découvert, sauf pour dire qu’il a été détecté “avant qu’une attaque ne soit tentée”.
« Nous avons en fait une longueur d’avance sur l’adversaire. Aucun de nous ne veut qu’ils comprennent où ils ont foiré », a déclaré Lee. “Grande victoire.”
L’Agence de cybersécurité et de sécurité des infrastructures (CISA), qui a publié l’alerte, a refusé d’identifier l’auteur de la menace.
Le gouvernement américain a averti les industries d’infrastructures critiques de se préparer à d’éventuelles cyberattaques de la Russie en représailles aux sanctions économiques sévères imposées à Moscou en réponse à son invasion de l’Ukraine le 24 février.
Des responsables ont déclaré que l’intérêt des pirates informatiques russes pour le secteur américain de l’énergie était particulièrement élevé, et la CISA a exhorté mercredi dans un communiqué à être particulièrement attentif aux mesures d’atténuation recommandées dans l’alerte. Le mois dernier, le FBI a émis une alerte indiquant que des pirates informatiques russes avaient scanné au moins cinq sociétés énergétiques anonymes à la recherche de vulnérabilités.
Lee a déclaré que le malware était “conçu pour être un cadre permettant de s’attaquer à de nombreux types d’industries différents et d’être exploité plusieurs fois. Selon la configuration de celui-ci, les cibles initiales seraient le GNL et l’électricité en Amérique du Nord ».
Mandiant a déclaré que les outils constituaient la plus grande menace pour l’Ukraine, les membres de l’OTAN et les autres États aidant Kiev dans sa défense contre l’agression militaire russe.
Il a déclaré que le logiciel malveillant pourrait être utilisé pour arrêter des machines critiques, saboter des processus industriels et désactiver des contrôleurs de sécurité, entraînant la destruction physique de machines pouvant entraîner la perte de vies humaines. Il a comparé les outils à Triton, un logiciel malveillant attribué à un institut de recherche du gouvernement russe qui ciblait des systèmes de sécurité critiques et a forcé à deux reprises l’arrêt d’urgence d’une raffinerie de pétrole saoudienne en 2017 et à Industroyer, le logiciel malveillant que les pirates militaires russes ont utilisé l’année précédente pour déclencher un panne de courant en Ukraine.
Lee a déclaré que le logiciel malveillant récemment découvert, surnommé Pipedream, n’est que le septième logiciel malveillant de ce type à être identifié et conçu pour attaquer les systèmes de contrôle industriels.
Lee a déclaré que Dragos, qui se spécialise dans la protection des systèmes de contrôle industriels, a identifié et analysé ses capacités au début de 2022 dans le cadre de ses recherches commerciales normales et en collaboration avec des partenaires.
Il n’offrirait pas plus de détails. Outre Dragos et Mandiant, l’alerte du gouvernement américain remercie Microsoft, Palo Alto Networks et Schneider Electric pour leurs contributions.
Schneider Electric fait partie des fabricants cités dans l’alerte dont les équipements sont visés par le malware. Omron en est un autre.
Mandiant a déclaré avoir analysé les outils début 2002 avec Schneider Electric.
Dans un communiqué, la dirigeante de Palo Alto Networks, Wendi Whitmore, a déclaré : « Nous avertissons depuis des années que notre infrastructure critique est constamment attaquée. Les alertes d’aujourd’hui détaillent à quel point nos adversaires sont devenus sophistiqués. »
Microsoft n’a fait aucun commentaire.