Infiltration des centrales énergétiques : autopsie d’une cyberguerre furtive

Cropped Favicon Economi Matin.jpg
Par Julien Cassignol Publié le 14 mars 2019 à 5h35
Attaques Ddos Cyber Securite France
@shutter - © Economie Matin

Comment des hackers parviennent-ils à s’infiltrer dans les systèmes d’opération des centrales énergétiques ? Dans une tribune, Julien Cassignol, ingénieur avant-ventes de One Identity et spécialiste de la gestion des accès et identités, décrit les techniques de ces attaques.

Un rapport des autorités américaines détaillait récemment comment des cyber-assaillants a priori liés à une puissance étrangère parviennent à s’infiltrer jusqu’aux commandes des centrales énergétiques, réputées inaccessibles.

Des hackers supposés travailler pour des puissances étrangères infiltrent sans doute en ce moment-même les réseaux informatiques de centrales occidentales de production d’énergie, malgré les garde-fous excessivement sophistiqués censés les protéger (firewalls, antivirus...). C’est la conclusion à laquelle sont arrivées les autorités britanniques, mais également américaines, suisses et turques qui ont repéré depuis 2017 l’intrusion d’un groupe de hackers sur les infrastructures de leurs fournisseurs d’énergie. Ce groupe, a été nommé, DragonFly.

En mars 2018, le FBI et le Département de la Sécurité Intérieure américain (DHS) ont publié un rapport très détaillé sur certaines de ces infiltrations. Selon celui-ci, les assaillants sont parvenus jusqu’aux consoles informatiques directement reliées aux systèmes d’opération industriels (alias OT, pour Operation Technology) qui monitorent et pilotent les chaînes de production.

Comment des hackers parviennent-ils à pirater des systèmes d’opération qui ne sont même pas accessibles depuis Internet ? Selon le rapport du FBI et du DHS, les hackers de DragonFly ont une tactique d’infiltration aussi méticuleuse qu’ingénieuse. Elle passe par l’exploitation très imaginative des systèmes d’information.

Étape 1 : La reconnaissance

En premier lieu, les pirates mènent une mission de reconnaissance. Afin de cibler au mieux leurs attaques, ils récupèrent depuis les sites publics d’entreprises du secteur de l’énergie toutes les informations susceptibles d’indiquer des processus ou des habitudes particulières. Ils vont par exemple trouver une photo sur le site d’un service de ressources humaines qui, une fois agrandie, montre dans son décors quels équipements industriels, et même quels modèles précis, sont utilisés. Les pirates vont jusqu’à télécharger le code source entier de certains sites web afin de lire les informations les moins visibles.

Ces informations servent à injecter de la crédibilité dans toute une succession d’e-mails que le pirate va adresser à des individus liés à l’industriel visé. L’intérêt de gagner leur confiance est de les faire tomber dans le piège de livrer leurs mots de passe et leurs identifiants. Cette tactique s’appelle le Spear phishing. L’enjeu du pirate est de récupérer le compte e-mail d’une victime, ce qui lui permet de se faire passer pour elle auprès d’une personne un peu plus méfiante, et d’obtenir l’accès à un poste interne.

Étape 2 : s’infiltrer chez un fournisseur avec des pièces attachées inoffensives

Tout l’art du pirate est de commencer petit. Son premier destinataire est une personne qui n’a qu’un lointain rapport avec sa cible ; un fournisseur d’équipement industriel, par exemple. Il lui fait parvenir un e-mail avec une pièce attachée inoffensive, typiquement une candidature avec le fichier Word d’un CV. Ce fichier Word présente la particularité, dès son ouverture, d’aller télécharger un paramètre de mise en forme tout aussi inoffensif sur le serveur du pirate, selon le protocole informatique SMB qui sert à partager des fichiers et, ce, au travers des ports réseau TCP 445 ou 139. A cause de ce fonctionnement particulier, l’empreinte chiffrée de l’identifiant et du mot de passe de la machine de la victime est notifiée sur le serveur du pirate, lequel dispose a priori d’outils pour déchiffrer cette empreinte.

Étape 3 : Piéger des sites web fréquentés par les industriels

Les identifiants acquis précédemment servent au pirate à modifier le contenu du site web commercial de ce fournisseur. Il se contente d’ajouter dans le code source de ses pages une image invisible. Celle-ci se télécharge encore une fois via SMB, depuis le serveur du pirate, en indiquant au passage l’empreinte des identifiants de l’internaute qui la visualise depuis son navigateur. Il n’a plus qu’à attendre qu’un salarié de l’industriel visite une de ces pages pour connaître son identité. Cette tactique, qui consiste à piéger les pages inoffensives (celles avec du contenu marketing ou de la documentation technique, le plus souvent) se nomme l’attaque du point d’eau, ou Watering hole, en anglais.

Étape 4 : Se faire passer pour plusieurs collaborateurs de l’industriel

Avec l’identifiant acquis, le pirate envoie un e-mail à un collaborateur plus proche de l’industriel, typiquement une personne en charge des achats, via un compte e-mail qui imite le nom du malheureux salarié qui s’est prendre par le site web infecté. Le pirate demande généralement dans cette nouvelle missive de valider un accord de confiance, accessible via un lien qui oblige le destinataire à entrer son adresse e-mail et son mot de passe.

A ce stade, le pirate possède les identifiants qui lui permettent d’utiliser le véritable compte e-mail d’un salarié interne. Cela signifie qu’il gagne encore en crédibilité auprès de ses futurs destinataires (il va par exemple se servir d’un e-mail aux achats pour écrire au service informatique). Le pirate répétera suffisamment de fois cette tactique de Spear phishing pour avancer à tâtons jusqu’à des responsables qui ont un accès à une partie du réseau intéressante, mais sans trop exagérer non plus pour ne pas que son infiltration finisse par éveiller les soupçons.

Étape 5 : envoyer une pièce jointe infectée pour se positionner sur un PC interne

Un compte e-mail interne permet surtout au pirate de joindre un malware à ses e-mails sans risquer que celui-ci soit intercepté par les firewalls périmétriques de l’industriel.

Lors de la cyberattaque documentée par le FBI et le DHS, le malware consistait en un script portant le nom d’un éditeur d’antivirus connu (symantec_help.jsp) et sa fonction était d’installer un autre script parmi les outils que cet antivirus lance au démarrage (C:Program Files (x86)SymantecSymantec Endpoint Protection ManagertomcatwebappsROOT). Ce nouveau script, appelé « enu.cmd » avait pour fonction de créer un nouveau compte administrateur sur la machine de la victime. La tactique est sophistiquée : elle tient compte d’une dénomination des administrateurs en français, en anglais, en espagnol, en italien et en allemand. Une fois les droits d’administration obtenus par le script, celui-ci désactivait le firewall interne et ouvrait le port 3389 afin d’autoriser un accès RDP, c’est-à-dire une porte grande ouverte pour que le pirate puisse utiliser ce poste de travail à distance comme s’il s’agissait du PC qu’il a en face de lui. Pour tromper la vigilance d’un informaticien, ce compte administrateur était présenté comme un compte destiné aux sauvegardes.

Étape 6 : Déménager tout un attirail de cyberguerre sur le PC interne

Grâce à l’accès distant RDP, le pirate déploie des logiciels open source pour déchiffrer tous les mots de passe de l’utilisateur (Hydra, SecretsDump, CrackMapExec…) mais aussi pour prendre le contrôle de la machine (langage Python…). Pour passer inaperçus, ces logiciels étaient téléchargés avec l’extension « .txt » comme s’il s’agissait d’inoffensifs documents, puis renommés avec l’extension « .exe » qui leur permet de s’exécuter. Enfin, le pirate a créé un autre compte administrateur qui ne sert qu’à effacer toutes ses traces régulièrement.

Étape 7 : à l’assaut du réseau jusqu’aux équipements SCADA

Toujours depuis ce PC, le pirate se crée un compte Microsoft Exchange valide dans le nom de domaine de l'industriel ; pour parfaire l’illusion, il décline l’identité du propriétaire de ce poste de travail, comme si celui-ci avait un compte de secours. Avec cette clé pour le réseau interne, il scanne les stockages partagés et y crée des raccourcis portant des noms classiques (notepade.exe, Documents, desktop.ini, etc.), mais pointant toujours en SMB vers son serveur. Avec les identifiants récoltés lorsque des salariés cliquent sur ces icônes, le pirate obtient les accès à d’autres machines du réseau, parmi lesquelles le contrôleur de domaine. Les registres systèmes de celui-ci lui permettent de lister toutes les machines et tous les administrateurs systèmes de l’industriel. Au bout d’un moment, le pirate obtient enfin l’accès à des stations de travail qui monitorent et pilotent les systèmes SCADA et ICS de l’infrastructure industrielle.

Etape 8 : dévaliser les schémas industriels

Pour passer inaperçu, le pirate a créé des tunnels VPN entre chacune des machines auxquelles il a eu accès afin que ses flux ne soient pas visibles du reste du réseau. Ces tunnels VPN servent essentiellement à récolter des captures d’écrans des postes utilisateurs, lesquelles se déclenchent automatiquement via des versions contrefaites des outils Windows et qui poussent l’imitation jusqu’à avoir la même empreinte MD5 qu’eux. Parmi ces captures d’écrans, le FBI et le DHS ont remarqué que le pirate a notamment pu récupérer les schémas de fonctionnement des centrales issus des consoles graphiques que les opérateurs utilisent pour superviser leurs infrastructures SCADA et ICS.

Et ensuite ? Selon le FBI et le DHS, les pirates n’ont a priori pas installé le virus Industroyer, capable de désactiver la distribution d’électricité, déclencher des pannes et même causer des préjudices importants aux équipements. Mais même s’il ne s’agit que d’espionnage industriel, les informations récoltées sont suffisantes pour saboter physiquement les centrales d’énergie à l’avenir. Un tel scénario s’est déjà déroulé fin 2015, quand la cyberattaque BlackEnergy a plongé dans le noir plusieurs dizaines de milliers de foyers et de bureaux ukrainiens pendant six heures. Reste à savoir si le Royaume-Uni, les USA, la Suisse, la Turquie ou tout autre État passé sous les radars, essuieront un Black-out.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Julien Cassignol est ingénieur Avant-Ventes, chez One Identity.