Dragonfly : après Stuxnet, nouvelle attaque réussie contre les systèmes Scada

Le scénario du pire. Ou presque. Un groupe de hackers, baptisé Dragonfly, est parvenu à corrompre certains systèmes de contrôle des opérateurs d’énergie. Notamment en France. Les pirates avaient alors la possibilité de saboter la distribution d’énergie de certains pays.

Selon Symantec, un groupe de pirates, probablement de l’Est, est parvenu à pénétrer les systèmes d’entreprises travaillant dans le secteur de l’énergie, à des fins d’espionnage. Pire : pour l’éditeur, les assaillants, baptisés Dragonfly, avaient les moyens « d’endommager ou d’interrompre la fourniture d’énergie dans les pays affectés » via la corruption de systèmes Scada (système de contrôle et d’acquisition de données). La France figure au troisième rang des pays touchés par l’infection derrière l’Espagne et les Etats-Unis. Interrogés par l’AFP, GDF Suez et EDF ont affirmé ne pas être au courant de ces attaques. Symantec assure avoir contacté les sociétés victimes des attaques ainsi que les autorités des pays concernés, notamment leurs CERT (Computer Emergency Response Centers). Avant de publier hier son alerte sur le Web.

Parmi les cibles de Dragonfly figuraient des opérateurs de réseau, des entreprises impliquées dans la génération d’électricité, des opérateurs de pipeline ou des fournisseurs d’équipements industriels pour le secteur. Selon Symantec, Dragonfly est un groupe de hackers bien financé, employant tout un arsenal de malwares. Pour sa campagne ciblant les spécialistes de l’énergie, Dragonfly a notamment employé des virus compromettant la sécurité de systèmes de contrôle industriels de trois constructeurs différents.

En complément de cette technique hautement sophistiquée ouvrant la porte à des opérations de sabotage, qui pousse Symantec à soupçonner des liens entre Dragonfly et un Etat, les hackers ont infiltré les organisations ciblées via de classiques campagnes de phishing et des sites vérolés (via l’injection de iframe). C’est via cet ensemble de techniques que les assaillants ont pu se ménager un accès sur les réseaux de leurs cibles pour y récupérer des informations.

Des mises à jour vérolées !

C’est le second cas avéré de piratage de systèmes Scada, après le virus Stuxnet qui avait ciblé les centrifugeuses utilisées par l’Iran dans le cadre de son programme d’enrichissement d’uranium. Rappelons que les spécialistes attribuent la paternité de Stuxnet aux services secrets américains et israéliens. Le piratage des Scada apparaît comme la préoccupation numéro un des Etats en matière de cybersécurité (c’est le cas en France), tant le potentiel d’une attaque ciblant ces équipements apparaît dévastateur.

Dans le cas présent, selon Symantec, Dragonfly est parvenu à corrompre les sites de trois constructeurs de systèmes de contrôle, insérant un malware dans les mises à jour logicielles qu’ils publient sur leur site à destination de leurs clients. Le premier système compromis fournit un accès VPN à un contrôleur logique programmable. Si son fournisseur a découvert l’attaque rapidement, 250 téléchargements avaient déjà eu lieu. Dans le second cas, un driver pour un périphérique d’un autre contrôleur, la mise à jour infectée est restée disponible pendant six semaines. Le troisième fournisseur ciblé, un constructeur de systèmes gérant des turbines éoliennes, des usines de biogaz et d’autres infrastructures, aurait lui laissé le logiciel infecté sur son site pendant une dizaine de jours. Pour Symantec, cette technique consistant à infecter des fournisseurs plus petits – et moins bien protégés – que les cibles réelles de Dragonfly – des géants de l’énergie – montre l’intelligence tactique du groupe de pirates.

Pour l’éditeur américain, Dragonfly est actif depuis au moins 2011 et se serait d’abord intéressé au secteur de la défense et de l’aviation aux Etats-Unis et au Canada, avant de se focaliser sur le secteur de l’énergie début 2013. Détail amusant : en se basant sur une analyse des opérations de Dragonfly, Symantec note que le groupe travaille essentiellement entre le lundi et le vendredi, pendant les horaires de bureau…

En complément :

IBM recense les cyberattaques à haut risque pour 2014