Blogs DHNET.BE
DHNET.BE | Créer un Blog | Avertir le modérateur

Des cyber criminels ordinaires

Fin 2010, nous avions commencé à en savoir davantage sur l’opération de sabotage Stuxnet, la première cyber attaque sur des infrastructures physiques à faire la Une des médias. Pendant que le monde entier imaginait ce à quoi pourrait ressembler le futur des cyber attaques, les professionnels de la cyber sécurité, eux, étudiaient Stuxnet en profondeur, pour savoir si d’autres cyber attaques de ce type étaient possibles. Il ont rapidement constaté que les systèmes de contrôle des infrastructures industrielles étaient extrêmement vulnérables et facilement exploitables. Autre conclusion inquiétante  : il allait être impossible de mettre à jour ces systèmes, vieux de plusieurs dizaines d’années, du jour au lendemain. Les cyber pirates du monde entier avaient donc l’embarras du choix. Stuxnet a marqué un tournant dans l’histoire de la cyber criminalité. Les cyber pirates commençaient à cibler les systèmes industriels. Près d’une décennie plus tard, c’est encore le cas. À une différence près. À l’époque, ils devaient disposer de moyens considérables pour mener de telles cyber attaques alors qu’aujourd’hui, elles sont à la portée de cyber criminels ordinaires. En 2014, des chercheurs de notre équipe Threat Intelligence se sont penchés sur l’un des serveurs Command & Control du malware Havex. Ce cheval de Troie, connu également sous les noms de « Dragonfly  » et « Energetic Bear », était utilisé pour des actions d’espionnage en Europe et aux États-Unis, et ce, probablement avec l’appui d’un gouvernement. Nos chercheurs ont découvert plusieurs programmes d’installation de logiciels de contrôle ICS porteurs du cheval de Troie sur le serveur C&C en question (des logiciels fonctionnant sous Windows et utilisés pour contrôler les systèmes ICS, pas les micrologiciels euxmêmes). Une recherche plus approfondie a révélé que ces mêmes paquets, porteurs du cheval de Troie, avaient été directement implantés sur des sites marchands de téléchargement de logiciels. Les victimes les téléchargeaient et les installaient sur leurs ordinateurs, sans se méfier. Les seules activités connues de Dragonfly étaient liées à l’espionnage. Pourquoi donc répandre ainsi ce cheval de Troie ? Ce n’est que plus tard que nous avons eu la réponse à cette question. Plus tard, au cours de l’année 2014, ce même groupe a lancé une série de campagnes d’espionnage contre des entreprises du secteur énergétique, aux États-Unis et en Europe, avant de subitement disparaître. Une analyse plus poussée a montré que les logiciels ICS porteurs du cheval de Troie avaient été installés dans des organisations ciblées, pour collecter des données depuis les systèmes vérolés et cartographier le réseau (grâce à des outils comme fing). Ces programmes d’installation infectés constituaient également un bon déguisement et un bon point d’ancrage dans les infrastructures piratées. Aucun lien n’a jamais été établi entre Dragonfly et un quelconque gouvernement. Le dispositif mis en place évoque davantage une campagne de cyber pirates qu’une opération d’État d’envergure. Il a brièvement refait surface l’année dernière, mais rien ne permet de dire s’il est toujours en activité.

Les commentaires sont fermés.