Le malware Triton très actif dans le sabotage industriel

Dans un rapport sur les activités du malware Triton, les chercheurs de l'éditeur de logiciels de cybersécurité FireEye ont révélé les stratagèmes des pirates pour tenter de forcer les systèmes d'une usine pétrochimique saoudienne. Mais l'éditeur a aussi montré que Triton pourrait avoir potentiellement infecté une deuxième infrastructure.

Des chercheurs en sécurité ont découvert d'autres attaques attribuées au groupe à l'origine du malware Triton, l'une des rares menaces trouvées à ce jour qui a été spécifiquement conçue pour saboter des équipements industriels. Triton a été découvert pour la première fois en 2017 après avoir frappé les systèmes d'une usine pétrochimique en Arabie Saoudite pour potentiellement provoquer une explosion. Cette attaque a échoué parce qu'une erreur commise par les attaquants a déclenché un arrêt d'urgence des systèmes critiques.

Le logiciel malveillant Triton est capable de reprogrammer les contrôleurs du système instrumenté de sécurité (SIS) Triconex fabriqués par Schneider Electric. Ces contrôleurs font partie de la dernière ligne de défense pour éviter les pannes critiques et les désastres possibles dans les installations industrielles. Ils sont conçus pour arrêter automatiquement l'équipement et les processus s'ils dépassent les paramètres d'exploitation sûrs.

Un rapport confirme une 2e intrusion

La grande majorité des attaques observées jusqu'à présent contre des entreprises exploitant des infrastructures critiques ont visé des actifs informatiques, et non des systèmes de contrôle industriel (SCI), et leur objectif principal a été le cyberespionnage. Parmi les rares cas publiquement documentés d'attaques de logiciels malveillants destructeurs du SCI, le ver Stuxnet a détruit les centrifugeuses d'enrichissement de l'uranium de la centrale nucléaire iranienne de Natanz, ou l'attaque BlackEnergy qui a causé des pannes de courant en Ukraine.

Pour accéder aux systèmes ICS, les attaquants doivent d'abord pénétrer dans l'infrastructure informatique d'une organisation et gagner en persistance, comme tout autre acteur de la menace persistante avancée (APT). Mardi, FireEye a publié un rapport qui documente les techniques et outils utilisés par le groupe Triton dans les premières phases de ses attaques. Le rapport contient des indicateurs de compromis, des hachages de fichiers et d'autres renseignements recueillis par l'éditeur à partir des réponses aux incidents liés à l'activité de Triton, y compris une intrusion détectée dans une deuxième installation d'infrastructure essentielle qui n'a pas été nommée.

Lentement mais sûrement

« Après avoir mis un pied dans le réseau de l'entreprise, Triton a concentré l'essentiel de ses efforts sur l'accès au réseau OT [Operational Technology] », indiquent les chercheurs de FireEye dans leur rapport. « Ils n'ont pas montré d'activités généralement associées à l'espionnage, comme l'utilisation de key loggers et de captures d'écran, la navigation dans des fichiers et/ou l'exfiltration d'une grande quantité d'informations. La plupart des outils d'attaque qu'ils ont utilisés étaient axés sur la reconnaissance du réseau, les mouvements latéraux et le maintien de la présence dans l'environnement cible. »

Le groupe a utilisé des portes dérobées publiques et personnalisées, des interpréteurs de commandes Web et des outils de collecte de justificatifs, dans le but d'éviter la détection antivirus et de ne pas être découvert. En fait, selon FireEye, les attaquants étaient présents sur le réseau de leur victime pendant près d'un an avant d'accéder au poste de travail technique du SIS qui leur permettait de déployer les logiciels malveillants Triton et de reprogrammer les contrôleurs.

Du reverse-ingeniering pour concevoir Triton

Les automates programmables (PLC) utilisés pour la commande et la surveillance des processus industriels sont normalement programmés à partir de postes de travail d'ingénierie spécialisés à l'aide de logiciels spécialisés fournis par leur fabricant. Dans le cas des contrôleurs de sécurité Triconex, le logiciel s'appelle TriStation et il utilise un protocole propriétaire non documenté que les pirates ont utilisé en rétro-ingénierie pour créer le malware Triton.

« Le cycle de vie d'une attaque ciblée d'un ICS sophistiqué est souvent mesuré en années », estiment les chercheurs de FireEye. « Les attaquants ont besoin de beaucoup de temps pour se préparer à une telle attaque afin d'en apprendre davantage sur les processus industriels de la cible et de construire des outils personnalisés. Ces attaques sont aussi souvent menées par des États-nations qui peuvent être intéressés à se préparer à des opérations d'urgence plutôt qu'à mener une attaque immédiate (par exemple installer un logiciel malveillant comme Triton et attendre le bon moment pour l'utiliser). Pendant ce temps, l'attaquant doit assurer un accès continu à l'environnement cible sous peine de perdre des années d'efforts et de perdre des logiciels malveillants ICS personnalisés potentiellement coûteux. Cette attaque n'a pas fait exception. »

Un groupe actif depuis au moins 2014

Parmi les techniques employées par le groupe Triton lors d'intrusions, citons le renommage des fichiers pour imiter les paquets de mise à jour Windows, l'utilisation d'outils standard comme RDP et PsExec pour se cacher parmi les activités administratives traditionnelles, la mise en place de coquilles Web sur les serveurs Outlook Exchange en les plaçant dans des fichiers légitimes, l'utilisation de tunnels SSH cryptés, la suppression des outils et de logs après leur utilisation pour éviter de laisser des traces, la modification des heures de fichiers et le travail à distance pour ne pas être remarqué.

Le groupe est actif depuis au moins 2014, date à laquelle certains de ses outils ont été créés, mais a réussi à éviter la détection depuis plusieurs années. Cela témoigne de sa sophistication et de l'attention qu'il porte à la sécurité opérationnelle. Les chercheurs croient qu'en plus des deux victimes confirmées trouvées jusqu'à présent, il pourrait y avoir d'autres organisations ou environnements SCI où le groupe a été ou est encore actif.

Propriétaires d’actifs ICS : faites attention !

Comme toutes les attaques SCI sophistiquées observées jusqu'à présent ont commencé par un compromis entre les systèmes Windows, Linux et d'autres systèmes informatiques traditionnels, les entreprises qui possèdent et exploitent du matériel de contrôle industriel devraient améliorer leurs capacités de détection des attaques sur les systèmes qui peuvent servir de canal pour atteindre ces actifs critiques.

« Dans le but de sensibiliser la communauté aux capacités et aux activités de cet acteur entre 2014 et 2017 - un effort d'autant plus important que nous avons découvert l'acteur de la menace dans une deuxième installation d'infrastructures essentielles - nous avons partagé un échantillon de ce que nous savons des PTT et des outils personnalisés du groupe », ont déclaré les chercheurs. « Nous encourageons les propriétaires d'actifs ICS à utiliser les règles de détection et autres informations contenues dans ce rapport pour rechercher des activités connexes, car nous pensons qu'il y a de bonnes chances que Triton était présent ou l’est toujours dans d'autres réseaux cibles. »