malware havex
Dans le deuxième épisode de la saison 2 des Dossiers Sentryo, nous évoquions la cyberattaque d’un gazoduc soviétique à la fin de la guerre froide… Découvrez aujourd’hui l’espionnage massif des entreprises du secteur de l’énergie par le malware Havex en 2013 et 2014.

Plus de 1 000 entreprises du secteur de l’énergie victimes du malware Havex

Particulièrement sophistiquée, l’attaque a été conduite par un groupe de hackers connus sous le nom de Dragonfly ou Energetic Bear. Plusieurs autres campagnes de type APT (Advanced Persistent Threat) on été attribuées à ce groupe. Pour la malware Havex, différentes stratégies d’attaque (phishing, compromission de sites web et infection de mise à jour logicielles) ont permis aux attaquants de s’introduire sur les réseaux internes de compagnies d’énergie pour leur dérober des données.

Comment Dragonfly a infecté les SCADA du secteur énergétique

De l’avis de nombreux experts en cybersécurité, l’attaque du malware Havex a été méticuleusement préparée. D’un niveau très complexe, la cyberattaque menée en 2013/2014 repose en effet sur la combinaison de 3 vecteurs de compromission différents ayant permis d’infecter les réseaux internes de plus de 1 000 entreprises du secteur de l’énergie.

Première étape : le spearphishing

De février à juin 2013, les hackers envoient des e-mails contenant un fichier PDF infecté à des hauts responsables du secteur de l’énergie. Loin des campagnes de spam classiques, ces e-mails sont soigneusement rédigés et personnalisés pour plus de crédibilité. L’ouverture de la pièce jointe permet l’introduction du malware dans les réseaux internes.

Deuxième étape : l’attaque du « point d’eau »

De mai 2013 à avril 2014, le groupe de hackers lance une 2e phase d’attaque en compromettant des sites web en lien avec l’énergie. Cette attaque par point d’eau (ou watering hole) consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs. À l’aide de kits d’exploitation connus sous les noms de Lightsout exploit kit et Hello exploit kit, les hackers redirigent les internautes vers des sites malveillants leur permettant d’infecter les systèmes informatiques des visiteurs avec un Remote Access Tool (RAT) destiné à ouvrir un accès dérobé – ou backdoor – sur le réseau.

Troisième étape : infection des SCADA

Dans le même temps, les hackers infectent les services de mise à jour de logiciels SCADA proposés par 3 fournisseurs localisés en Allemagne, en Suisse et en Belgique. Les attaquants ont réussi à modifier les sites web des éditeurs de logiciels pour que le malware Havex soit téléchargé et introduit dans les ICS lors des mises à jour logicielles de leurs clients industriels. Selon les fournisseurs, le malware a été disponible entre 10 jours et 6 semaines sur le site officiel, avant d’être détecté et retiré. Pendant ce laps de temps très important, de nombreux clients et donc industries ont pu être contaminés. Il est très difficile d’évaluer l’étendue de cette contamination.

Conséquences de l’infection du malware Havex pour les industries

Quel que soit le vecteur de contamination utilisé, les systèmes industriels infectés lors de l’attaque Havex ont pu être surveillés à distance par les hackers grâce au cheval de Troie Karagany et à la porte dérobée Oldrea. Grâce au scan des réseaux locaux et au repérage des appareils utilisant le protocole industriel OPC (Open Platform Communication), les pirates ont ensuite pu recueillir des informations sur les dispositifs industriels et les envoyer à un serveur de commande et de contrôle (C&C) pour les analyser.

Dragonfly vs SCADA
Les pirates du groupe Dragonfly ont particulièrement ciblé les entreprises industrielles utilisant des applications ICS et des systèmes de supervision SCADA. Les zones géographiques les plus touchées ont été l’Europe (essentiellement l’Espagne, la France, l’Italie et l’Allemagne) et les États-Unis.

Les enseignements à tirer de cette cyberattaque contre les systèmes industriels

Ce cas d’usage dans le secteur de la production d’énergie nous montre une fois de plus que les utilisateurs des systèmes industriels doivent être sensibilisés au risque de contamination des réseaux par phishing (envoi d’e-mails infectés par des pièces jointes contaminées). Il nous rappelle également que les mises à jour logicielles peuvent être contaminées, même si elles proviennent directement des éditeurs de solutions informatiques.

Les mesures de protection

Pour se protéger d’une attaque malveillante comme Havex, différentes mesures préventives sont à préconiser dans le secteur industriel :

  • sensibiliser les employés à la sécurité informatique et leur apprendre à repérer des e-mails suspects pour éviter la propagation de programmes malveillants par le biais du phishing ;
  • installer une solution de détection des changements de configuration des ordinateurs afin de pouvoir déceler des failles de sécurité de type cheval de Troie (Trojan) et porte dérobée (Backdoor) ;
  • mettre en place un processus d’analyse des mises à jour de logiciels pour s’assurer qu’elles n’intègrent pas de programmes malveillants.

Détection d’obsolescence

Lors de cette campagne, différentes vulnérabilités affectant certaines versions anciennes de Windows ont été exploitées. La dernière version d’ICS CyberVision permet de détecter sur le réseau les machines utilisant ces versions obsolètes et non supportées, et affiche les vulnérabilités associées.

La cyberattaque menée par le groupe Dragonfly doit interpeller les gestionnaires d’infrastructures stratégiques sur son ciblage manifeste des systèmes ICS et SCADA. Dans le cas du malware Havex, le vol de données ne permet pas pour autant d’exclure un objectif initial de sabotage industriel. Les responsables de la sécurité des systèmes industriels doivent mettre en œuvre tous les moyens de cybersurveillance à leur disposition pour protéger les équipements sensibles, notamment dans le secteur de l’énergie, en se dotant d’une solution de cybersécurité adaptée.

Pour aller plus loin
Retrouvez d’autres cyberattaques contre les industries énergétiques dans les Dossiers Sentryo avec l’attaque de groupe pétrolier Aramco en 2012 ou l’attaque d’une hydrolienne en 2015.

Sources : fiches réalisées par le groupe de travail SCADA du Clusif en 2017.

https://www.cyber.nj.gov/threat-profiles/ics-malware-variants/havex
http://securid.novaclic.com/cyber-securite-industrielle/havex-dragonfly-russe.html
https://www.lemondeinformatique.fr/actualites/lire-les-malwares-de-cryptominage-plus-nombreux-plus-malfaisants-70918.html
http://www.bbc.com/news/technology-28106478

Trojan RAT (Remote Access Tool)

http://www.lemagit.fr/actualites/2240223505/Havex-se-tourne-vers-les-systemes-Scada
https://www.f-secure.com/weblog/archives/00002718.html