Baptisé Irongate, le malware découverte dans VirusTotal pourrait, comme Stuxnet, masquer la lecture des données réelles par les processus industriels. Selon eux, les échantillons découverts sont probablement une preuve de concept, mais ils pourraient annoncer de futures attaques.

Irongate reprend une technique de sabotage utilisée par le malware Stuxnet créé, selon certains, par les États-Unis et Israël, pour perturber le programme nucléaire iranien. Stuxnet aurait réussi à détruire un grand nombre de centrifugeuses d'enrichissement d'uranium utilisées par l’Iran. Le nouveau malware a été découvert au cours du second semestre 2015 par des chercheurs de l’entreprise de sécurité FireEye. Le logiciel malveillant n’a pas été repéré dans le cadre d’une attaque active, mais dans la base de données VirusTotal, un site mis en place par Google où les utilisateurs peuvent envoyer des fichiers suspects pour qu’ils soient analysés par des moteurs antivirus.

Un concept encore en phase de test

Le mystérieux programme, que FireEye a surnommé Irongate, a été téléchargé sur VirusTotal en 2014, à partir de plusieurs sources. À l’époque, aucun des produits antivirus du site n’avait repéré de code malveillant. De plus, de façon surprenante, aucune entreprise de sécurité n’a pu identifier le malware avant la fin 2015, alors que les échantillons de VirusTotal sont automatiquement partagés avec tous les fournisseurs de solutions antivirus participant au projet. C’est en recherchant des échantillons potentiellement suspects compilés avec PyInstaller, une technique utilisée par différents attaquants, que FireEye a pu mettre la main sur le malware. Grâce aux références à Scada et à des fonctionnalités associées, les chercheurs ont découvert deux charges utiles dans Irongate.

La bonne nouvelle, c’est que ces échantillons étaient encore, semble-t-il, à l’état de preuve de concept ou de test. Ils sont conçus pour rechercher et remplacer une dll spécifique qui communique avec le logiciel Siemens SIMATIC S7-PLCSIM. Ce dernier permet aux utilisateurs d'exécuter des programmes en simulant les contrôleurs programmables (PLC) S7-300 et S7-400. Ces hardwares spécialisés surveillent et contrôlent des processus industriels comme la rotation de moteurs, l'ouverture et la fermeture de soupapes, etc. Ils transmettent leurs données de lectures et d'autres données à un logiciel de surveillance, une interface homme-machine (IHM), qui tourne sur les postes de travail des ingénieurs.

Un malware très dangereux 

À l’image de ce qu’avait fait Stuxnet dans le centre nucléaire iranien de Natanz, l'objectif d’Irongate est de s’introduire dans le processus de surveillance Scada pour manipuler les données provenant des automates, et masquer d’éventuelles actions de sabotage. Stuxnet avait interrompu le fonctionnement du PCL et avait fait croire que la vitesse de rotation des centrifugeuses restait stable et dans des limites normales alors que ce n’était pas le cas. Irongate enregistre des données valides provenant de l'automate et fait tourner ces données en boucle, un peu comme des voleurs qui font passer en boucle le même enregistrement vidéo sur une caméra de surveillance. Parce qu’Irongate interagit avec un simulateur PLC et qu’il cherche à remplacer une dll qui n’existe pas dans les produits standard de Siemens, les chercheurs de FireEye pensent que le malware est encore probablement une preuve de concept. 

La Siemens Product Computer Emergency Readiness Team (ProductCERT) « a confirmé que le code ne fonctionnerait pas dans un environnement standard Scada de Siemens », comme l’ont précisé hier dans un blog les chercheurs de FireEye. Cependant, si en 2014 Irongate n’était encore qu’une preuve de concept destinée à tester une attaque de type man-in-the-middle – la modalité d’attaque de Stuxnet - contre les automates, cela peut aussi vouloir dire que, depuis, ses auteurs ont peut être développé un autre programme malveillant déjà actif contre les systèmes de contrôle industriel (ICS).

Des systèmes mal protégés 

Quoi qu'il en soit, la découverte d’Irongate devrait servir d'avertissement aux entreprises qui exploitent des systèmes Scada. « Les attaquants ont appris à développer des techniques de type Stuxnet, mais les défenseurs n’ont pas vraiment amélioré leur capacité à détecter les logiciels malveillants ciblant les ICS », a déclaré dans un blog Dale Peterson, CEO de l’entreprise de conseil en sécurité Digital Bond. « Nous devons améliorer significativement nos capacités de détection des attaques contre les systèmes ICS ».