Pour gérer vos consentements :
Categories: MalwaresSécurité

Irongate : un malware aux airs de Stuxnet cible les SCADA

Les chercheurs FireEye ont découvert un malware relativement complexe qui emprunte certains éléments de Stuxnet. Il vise lui aussi les systèmes industriels SCADA fournis par Siemens. Josh Homan, Sean McBride, et Rob Caldwell ont dénommé ce malware « Irongate » et pensent qu’il est encore au stade de POC (Proof of Concept) et non encore actif.

Irongate dispose de quelques fonctionnalités intéressantes. La première est qu’il est capable de lancer une attaque MiTM (man in the middle), dite de l’homme du milieu sur le processus d’entrée/sortie et le logiciel de l’opérateur. Il utilise également des librairies DLL malveillantes pour enregistrer le trafic, ce qui « pourrait permettre à un attaquant de modifier un processus à l’insu du process de l’opérateur », souligne les chercheurs. Reste que l’équipe est encore dans le doute sur la façon de procéder pour l’attaque MiTM, elle privilégie une activation manuelle.

Anti sandbox et anti malware

De plus Irongate est capable d’éviter les protections de type sandbox et comprend du code anti-analyse pour éviter que les chercheurs puissent fouiller en profondeur le malware. Rusé, il vérifie si des environnements virtualisés de sandbox de type VMware et Cuckoo sont présents. Dans ce cas, le malware ne se télécharge pas.

Des façons de procéder qui rappellent inévitablement Stuxnet. Le virus créé probablement par les Etats-Unis et Israel pour saboter une centrifugeuse d’uranium en Iran, comprenait des modus operandi similaires avec techniques anti-sandbox, cibles équivalentes, etc. Mais il y a des différences entre les deux malwares. Ainsi, Stuxnet vérifiait la présence d’anti-virus, Irongate détecte des environnements d’observation et d’exécution contrôlée de logiciels malveillants.

Il reste des zones d’incertitude. FireEye  a été incapable de relier Irongate avec une campagne de cybersécurité ou un groupe de cybercriminels. Ce qui fait dire aux chercheurs qu’Irongate en est au stade de prototype. Il faut espérer qu’ils aient raison.

A lire aussi :

Sécuriser les Scada : « ce sera cher et difficile », dit Kaspersky

Scada : des hackers manipulent le retraitement des eaux

Crédit Photo : Genkur-Shutterstock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago