Selon les chercheurs de F-Secure, des attaquants se sont introduits sur les sites de vendeurs de solutions ICS/SCADA pour distribuer des logiciels malveillants via leurs systèmes de téléchargement. Jusqu'à présent, le malware visait essentiellement des entreprises du secteur de l'énergie, mais actuellement il cible celles qui utilisent ou développent des applications et des machines industrielles.

Selon les chercheurs, au printemps, les attaquants ont commencé à distribuer de nouvelles versions d'un RAT (Remote access Trojan) nommé Havex, qui permet la prise de contrôle à distance. Ils ont piraté les sites Internet de fabricants de systèmes de contrôle industriel (ICS) et détourné leurs bases de téléchargements de logiciels légitimes. « Nous avons découvert que les sites de trois éditeurs avaient été compromis de la sorte », ont déclaré lundi les chercheurs de F-Secure dans un blog. « Les installeurs de logiciels disponibles sur ces sites ont été modifiés et transportent le RAT Havex. Nous pensons que le même processus a peut-être été reproduit sur d'autres sites, mais nous ne les avons pas encore identifiés ».

F-Secure n'a pas cité le nom des éditeurs concernés, mais les chercheurs ont indiqué que deux d'entre eux développaient un logiciel de gestion à distance pour les systèmes de contrôle industriels et que le troisième fabriquait des caméras industrielles de haute précision et développait les logiciels permettant de les utiliser. D'après F-Secure, ces entreprises sont basées en Allemagne, en Suisse et en Belgique. Les attaquants ont modifié les installeurs de logiciels originaux afin qu'ils déposent et exécutent un fichier supplémentaire nommé mbcheck.dll sur les ordinateurs. Ce fichier est en fait le malware Havex. Cette nouvelle technique de distribution du malware complète les attaques plus traditionnelles basées sur le spamming et celles menées avec des exploits hébergés sur des sites Web compromis. La procédure montre que les pirates à l'origine de cette opération s'intéressent particulièrement aux entreprises qui utilisent des applications ICS et des outils de supervision SCADA. La présence dans Havex d'un nouveau composant malveillant capable de scanner les réseaux locaux pour repérer les appareils qui répondent aux requêtes OPC (Open Platform Communications) vient aussi conforter cette analyse.

Une entreprise californienne également dans le viseur

La norme de communication OPC permet l'interaction entre les applications SCADA basées sur Windows et le matériel de contrôle de processus. « Le composant Havex s'appuie sur le standard OPC pour recueillir des informations sur les dispositifs de contrôle industriels. Il les envoie ensuite au serveur de commande et de contrôle (C&C) où elles sont analysées par les pirates », ont expliqué les chercheurs de l'entreprise de sécurité. « Ce composant sert semble-t-il à la collecte de renseignements. Mais jusqu'à présent, nous n'avons aucun signe indiquant que le malware tente de contrôler le matériel connecté », ont-ils ajouté. L'identité des entreprises ciblées, dont l'activité est d'une manière ou d'une autre liée à des applications et des matériels industriels, est une preuve supplémentaire de ce ciblage spécifique. La majorité des entreprises visées se trouvent en Europe, mais les chercheurs disent avoir repéré au moins une entreprise localisée en Californie qui envoyait des données vers les serveurs C&C. « Parmi les entreprises basées en Europe, deux sont d'importants établissements d'enseignement en France, connus pour leur recherche en matière de technologie, deux sont des producteurs d'applications ou de machines industrielles allemands. Il y a encore un fabricant français de machines industrielles, et une entreprise de construction russe qui semble spécialisée dans l'ingénierie structurelle », ont précisé les chercheurs.

Dans un rapport publié en janvier, l'entreprise de sécurité CrowdStrike avait attribué les attaques menées en septembre 2013 contre des entreprises du secteur de l'énergie au RAT Havex et à un groupe de pirates qu'elle a surnommé « Energetic Bear » qui a des liens avec la Fédération de Russie. Selon CrowdStrike, les attaques menées par ce groupe datent d'août 2012. Depuis la découverte en 2010 du vers Stuxnet, qui est soupçonné d'avoir détruit jusqu'à 1.000 centrifugeuses dans des centres d'enrichissement de l'uranium en Iran, les chercheurs en sécurité alertent sur la vulnérabilité des systèmes de contrôle industriel et la facilité avec laquelle ils peuvent être ciblés par des attaquants. Néanmoins, les attaques de malware contre les ICS et les systèmes SCADA ne se sont jamais confirmées dans la réalité. La campagne d'attaque menée avec Havex reste aujourd'hui encore un phénomène rare. Mais elle peut aussi indiquer que les choses sont en train de changer.

Les systèmes industriels sont la cible répétée de pirates informatiques peaufinant jour après jour leurs attaques.