Triton est le virus le plus mortel

Bonjour, Habr! Il s'agit d'une traduction amateur du message «Triton est le malware le plus meurtrier au monde, et il se propage» par Martin Giles , publié le 5 mars 2019. Toutes les illustrations ont été créées par Ariel Davis.
Spoiler: les pirates russes sont à nouveau accusés de cyberattaques.

Le code antivirus peut désactiver les systèmes de sécurité conçus pour prévenir les accidents industriels. Il a été découvert au Moyen-Orient, mais ses pirates informatiques ciblent des entreprises en Amérique du Nord et dans d'autres pays.


En tant que spécialiste expérimenté de la sécurité des informations, Julian Gatmanis a aidé les entreprises à faire face à de nombreuses menaces de cybermenaces. Mais quand un consultant australien en matière de sécurité a été appelé pour une production pétrochimique en Arabie saoudite à l'été 2017, il a découvert quelque chose qui avait refroidi son sang.

Les pirates ont publié des logiciels malveillants qui leur ont permis de prendre le contrôle des systèmes de sécurité industrielle. Les régulateurs et les logiciels associés constituent la dernière ligne de défense contre les catastrophes mettant la vie en danger. Il est supposé qu'ils interviendront lorsque des conditions dangereuses sont détectées et ramèneront les processus à un niveau sûr ou les arrêteront complètement en activant les mécanismes de décompression ou en fermant les vannes.

Un logiciel malveillant vous permet de contrôler les systèmes de sécurité à distance. Si des attaquants s'arrêtent ou interfèrent avec le fonctionnement de ces systèmes et provoquent un dysfonctionnement de l'équipement avec d'autres logiciels, les conséquences peuvent être horribles. Heureusement, une erreur dans le code a donné aux pirates informatiques la possibilité de faire du mal. Une réponse de sécurité en juin 2017 a entraîné un arrêt de la production. Plus tard, en août, plusieurs autres systèmes ont été éteints, ce qui a provoqué un nouvel arrêt de travail.

Le premier accident a été attribué à tort à une défaillance de la mécanique; après le deuxième accident, les propriétaires ont appelé des experts pour enquêter. Ils ont découvert un virus surnommé Triton (parfois appelé Trisis). Il vise le modèle de contrôleur Triconex, créé par la société française Schneider Electric.

Dans le pire des cas, le code viral pourrait entraîner la libération de sulfure d'hydrogène ou provoquer des explosions, mettant en danger la vie sur le lieu de travail et dans les zones environnantes.

Gatmanis a rappelé que faire face au virus dans la production redémarrée après le deuxième accident était ce même tracas.

«Nous savions que nous ne pouvions pas compter sur l'intégrité des systèmes de sécurité. C'était pire que jamais. »

En attaquant l'usine, les pirates ont traversé le Rubicon effrayant. Pour la première fois, le monde de la cybersécurité est confronté à un code spécialement conçu pour exposer la vie des gens à des risques mortels. De tels systèmes de sécurité se retrouvent non seulement dans l'industrie pétrochimique; c'est la dernière frontière dans tout, depuis les transports ou les usines de traitement des eaux jusqu'aux centrales nucléaires.

La découverte de Triton soulève des questions sur la façon dont les pirates ont pu pénétrer dans ces systèmes critiques. Les installations industrielles intègrent les communications dans tous les types d'équipements - un phénomène connu sous le nom d'Internet des objets. Cette connexion permet aux travailleurs de contrôler à distance les appareils, de collecter rapidement des données et de rendre les opérations plus efficaces, mais en même temps, les pirates obtiennent plus de cibles potentielles.

Les créateurs de Triton recherchent désormais de nouvelles victimes. Dragos, une entreprise spécialisée dans la cybersécurité industrielle, affirme que des preuves ont émergé au cours de l'année écoulée qu'un groupe de pirates utilisent les mêmes méthodes de renseignement numérique pour détecter des cibles en dehors du Moyen-Orient, y compris en Amérique du Nord. Ils créent des variations de code qui peuvent compromettre davantage de systèmes de sécurité.

Préparation au combat

Des informations sur l'existence de Triton sont apparues en décembre 2017, malgré le fait que les données personnelles du propriétaire ont été gardées secrètes. (Gatmanis et d'autres experts impliqués dans l'enquête ont refusé de nommer l'entreprise par crainte que cela ne décourage les futures victimes de partager en privé des informations sur les cyberattaques.)

Au cours des deux dernières années, des entreprises spécialisées dans la sécurité de l'information ont pourchassé le virus et tenté de comprendre qui est à l'origine de son développement. Leur enquête brosse un tableau alarmant: une cyber-arme sophistiquée est créée et hébergée par un groupe de hackers déterminés et patients dont l' identité est encore inconnue .

Des pirates informatiques sont apparus dans le réseau d'entreprise d'une entreprise pétrochimique en 2014. Depuis lors, ils ont trouvé un moyen d'accéder au réseau de production d'entreprise, très probablement à travers une vulnérabilité dans un pare-feu mal configuré dont la tâche est d'empêcher tout accès non autorisé. Ils sont entrés dans le poste de travail d'ingénierie, ou en utilisant une erreur non corrigée dans le code Windows, interceptant toutes les données des employés.

Le poste de travail étant connecté au système de sécurité de l'entreprise, les pirates ont pu étudier le modèle des systèmes de contrôleurs matériels, ainsi que les versions logicielles intégrées dans la mémoire de l'instrument et affectant le transfert d'informations entre eux.

Ils ont probablement acquis le même modèle de contrôleur et l'ont utilisé pour tester le malware. Cela a permis d'imiter le protocole et d'établir des règles numériques permettant à un poste d'ingénierie d'interagir avec les systèmes de sécurité. Les pirates ont également découvert une «vulnérabilité zéro jour» (bug auparavant inconnu) dans le programme intégré Triconex. Cela a permis de saisir le code dans la mémoire des systèmes de sécurité, ce qui garantit à tout moment l'accès aux contrôleurs. Ainsi, les attaquants pourraient ordonner la fermeture des systèmes de sécurité, puis à l'aide d'autres programmes malveillants, provoquer une situation dangereuse dans l'entreprise.

Les résultats pourraient être impressionnants. Le pire accident industriel est également associé à la fuite de gaz toxiques. En décembre 1984, l'usine de production de pesticides d'Union Carbide à Bhopal, en Inde, a libéré un énorme nuage de fumées toxiques - tuant des milliers de personnes. Raisons: mauvais service et facteur humain. De plus, des systèmes de sécurité défectueux et inopérants à l'usine signifiaient que sa dernière ligne de défense avait échoué.

Encore plus de préparation au combat

Il n'y a pas eu beaucoup de cas où des pirates ont tenté de faire du mal en utilisant le cyberespace. Par exemple, Stuxnet - des centaines de centrifugeuses nucléaires iraniennes sont devenues incontrôlables et se sont auto-détruites (2010). Un autre exemple, CrashOverride est une grève de pirate informatique sur le système énergétique de l'Ukraine (2016). (Notre barre latérale contient un résumé de ces attaques cybernétiques et d'autres.) *

Cependant, même le cyber- Kassander le plus pessimiste n'a pas vu de malware comme Triton.

«Il semblait juste que viser les systèmes de sécurité était difficile moralement et vraiment dur techniquement», explique Joe Slovick, un ancien officier de la marine américaine qui travaille maintenant à Dragos.

D'autres experts ont également été choqués de voir des nouvelles du code du tueur.

«Même Stuxnet et d'autres virus n'ont jamais eu une intention aussi flagrante et sans équivoque de blesser des personnes», a déclaré Bradford Hegret, consultant Accenture spécialisé dans la cybersécurité industrielle.

Ce n'est probablement pas une coïncidence si le logiciel malveillant est apparu lorsque des pirates informatiques de pays comme la Russie, l'Iran et la Corée du Nord ont intensifié leurs recherches sur les secteurs des «infrastructures critiques» . Les sociétés pétrolières et gazières, les sociétés d'électricité et les réseaux de transport sont essentiels à l'économie moderne.

Dans un discours l’année dernière, Den Coats, directeur du renseignement américain, a averti que la menace d’une cyberattaque paralysant l’infrastructure vitale des États-Unis augmentait. Il a établi un parallèle avec l'augmentation de la cyberactivité des groupes terroristes enregistrés par le renseignement américain avant le 11 septembre 2001.

«Près de deux décennies plus tard, je suis ici pour donner un avertissement, les lumières clignotent à nouveau en rouge. Aujourd'hui, l'infrastructure numérique au service de notre pays est littéralement attaquée », a déclaré Coates.

Au début, il semblait que Triton était l'œuvre de l'Iran, qui est l'ennemi juré de l'Arabie saoudite. Dans un rapport publié en octobre dernier, FireEye, une entreprise de sécurité de l'information impliquée depuis le début dans l'enquête, a accusé un autre pays: la Russie.

Les pirates ont testé des éléments du code afin de faire de sa détection une tâche impossible pour l'antivirus. FireEye a découvert un fichier oublié par des pirates sur le réseau de l'entreprise et a pu suivre d'autres fichiers à partir du même banc de test. Ils contenaient plusieurs noms en caractères cyrilliques et une adresse IP utilisée pour démarrer les opérations liées aux virus.

Cette adresse a été enregistrée auprès de l'Institut central de recherche en chimie et mécanique de Moscou, une organisation gouvernementale spécialisée dans les infrastructures clés et la sécurité industrielle. FireEye a également rapporté des preuves qui indiquaient l'implication d'un professeur de cet institut. Néanmoins, le rapport a noté que FireEye n'a pas pu trouver de preuves qui pourraient indiquer sans ambiguïté l'implication de l'institut dans le développement de Triton.

Les chercheurs creusent toujours l'origine du virus, de sorte que beaucoup plus de théories peuvent surgir sur les pirates informatiques. Gatmanis, quant à lui, souhaite aider les entreprises à tirer d'importantes leçons de l'expérience similaire de l'usine saoudienne. Lors de la conférence S4X19 sur la sécurité industrielle de janvier, il en a décrit quelques-unes. Par exemple, la victime de l'attaque Triton a ignoré de nombreuses alarmes antivirus déclenchées par des logiciels malveillants; elle a également été incapable de détecter un trafic inhabituel au sein de ses réseaux. Les travailleurs ont également laissé les clés physiques qui contrôlent les paramètres des systèmes Triconex dans une position permettant l'accès à distance au logiciel de l'instrument.

Cela peut sembler un cas désespéré, mais Gatmanis affirme que ce n'est pas le cas.

«J'étais dans de nombreuses usines américaines qui étaient plusieurs fois moins matures [dans mon approche de la cybersécurité] que cette organisation», explique Gatmanis.

---

Triton: une chronologie

2014
Les pirates informatiques ont accès au réseau d'entreprise de l'usine en Arabie saoudite

Juin 2017
Premier arrêt de production

Août 2017
Deuxième arrêt de production

Décembre 2017
Publication des informations sur les cyberattaques

Octobre 2018
FireEye rapporte que Triton a probablement été créé dans un laboratoire russe

Janvier 2019
Plus d'informations sur les incidents apparaissent

---

D'autres experts notent que les pirates travaillant pour le gouvernement sont prêts à poursuivre des cibles relativement vagues et difficiles à atteindre. Les systèmes de sécurité sont spécialement conçus pour protéger une variété de processus, donc la programmation d'un programme antivirus nécessite beaucoup de temps et un travail minutieux. Le contrôleur Triconex de Schneider Electric, par exemple, a de nombreux modèles différents, et chacun d'eux peut avoir une version différente du firmware.

Le fait que les pirates aient coûté si cher pour développer Triton a été un signal d'alarme pour Schneider et d'autres fournisseurs de sécurité tels qu'Emerson (États-Unis) et Yokogawa (Japon). Schneider a été félicité pour avoir partagé publiquement des détails sur l'attaque par des pirates, y compris la couverture d'une erreur zero-day, qui a ensuite été corrigée. Cependant, lors de la présentation de janvier, Gatmanis a critiqué la société pour ne pas avoir pu interagir avec les enquêteurs immédiatement après l'attaque.

Schneider a été assuré qu'il avait collaboré avec une entreprise victime d'une cyberattaque aussi étroitement qu'avec le département américain de la Sécurité intérieure et d'autres agences menant l'enquête. Plus de personnes ont été embauchées et la sécurité du firmware et des protocoles utilisés a été renforcée.

Andrew Kling, PDG de Schneider, a déclaré que la leçon importante tirée de cet incident est que les entreprises et les fabricants d'équipements doivent accorder plus d'attention aux domaines où les compromis peuvent conduire à une catastrophe, même si une attaque contre eux semble très peu probable. Par exemple, des applications logicielles rarement utilisées et d'anciens protocoles qui contrôlent les interactions entre les instruments.

"Vous pourriez penser que personne ne sera jamais dérangé par une violation de [certains] protocoles obscurs qui ne sont même pas documentés", dit Kling, "mais vous devez vous demander quelles seraient les conséquences s'ils le faisaient?"

Un avenir différent?

Au cours de la dernière décennie, les entreprises ont ajouté une connectivité Internet et des capteurs à tous les types d'équipements industriels. Les données collectées sont utilisées pour tout; commencer par la prophylaxie, ce qui signifie utiliser l'apprentissage automatique pour mieux prédire quand ce service prophylactique sera nécessaire, pour se terminer par des processus de production affinés. Une étape importante a également été franchie pour contrôler les processus à distance à l'aide de smartphones et de tablettes.

Tout cela peut rendre l'entreprise beaucoup plus efficace et productive, ce qui explique pourquoi, selon le groupe ARC, qui surveille le marché, il devrait dépenser environ 42 milliards de dollars en équipements Internet industriels; par exemple, des capteurs intelligents et des systèmes de contrôle automatisés. Mais les risques sont également évidents: plus l'équipement est connecté, plus les attaquants reçoivent des cibles d'attaques.

Pour dissuader les cybercriminels, les entreprises s'appuient généralement sur une stratégie appelée «défense profonde»: elles créent plusieurs niveaux de sécurité et utilisent des pare-feu pour séparer les réseaux d'entreprise d'Internet. La tâche des autres niveaux est d'empêcher les pirates d'accéder aux réseaux d'entreprise et aux systèmes de contrôle industriels.

Les méthodes de protection incluent également des outils antivirus pour détecter les virus et, de plus en plus, des logiciels d'IA qui tentent de reconnaître les comportements anormaux au sein des systèmes informatiques.

De plus, les systèmes de contrôle de sécurité et les systèmes physiques de sécurité sont utilisés comme protection ultime. Les systèmes les plus importants ont généralement plusieurs copies physiques pour se protéger contre la défaillance d'un élément.

Cette stratégie a prouvé sa fiabilité. Mais une augmentation du nombre de pirates disposant de suffisamment de temps, d'argent et de motivation pour cibler les infrastructures critiques, ainsi qu'une augmentation de la croissance des systèmes connectés à Internet - tout cela signifie que le passé ne peut pas être un guide fiable pour l'avenir.

La Russie, en particulier, a démontré sa volonté d'utiliser des logiciels comme arme contre des cibles physiques qu'elle peut utiliser pour tester des cyber-armes. L'introduction de Triton en Arabie saoudite montre que des pirates informatiques déterminés sont prêts à passer des années à chercher des moyens de franchir tous ces niveaux de protection.

Heureusement, les assaillants de l'entreprise en Arabie saoudite ont été interceptés et nous avons appris beaucoup plus sur leur fonctionnement. C'est un rappel qui donne à réfléchir que les pirates, comme d'autres développeurs, font également des erreurs. Que se passe-t-il si un bogue introduit involontairement, au lieu d'arrêter les systèmes en toute sécurité, "neutralise" le système de sécurité, et cela se produit exactement au moment où une erreur ou un facteur humain rend le processus vital inutile?

Des experts travaillant dans des endroits comme le US National Laboratory en Idaho exhortent les entreprises à revoir tous leurs processus à la lumière de l'émergence de Triton et d'autres menaces cyberphysiques, ainsi que de réduire considérablement ou d'éliminer complètement les chemins numériques par lesquels les pirates peuvent accéder aux processus vitaux .

Les entreprises devront supporter les coûts, mais Triton rappelle que les risques augmentent. Gatmanis estime que de nouvelles attaques utilisant des virus mortels sont presque inévitables.

"Bien que ce soit la première fois", déclare Gatmanis, "je serais très surpris si cela se révélait être le premier et le dernier cas"

---