Les chercheurs FireEye ont découvert un malware relativement complexe qui emprunte certains éléments de Stuxnet. Il vise lui aussi les systèmes industriels SCADA fournis par Siemens. Josh Homan, Sean McBride, et Rob Caldwell ont dénommé ce malware « Irongate » et pensent qu’il est encore au stade de POC (Proof of Concept) et non encore actif.
Irongate dispose de quelques fonctionnalités intéressantes. La première est qu’il est capable de lancer une attaque MiTM (man in the middle), dite de l’homme du milieu sur le processus d’entrée/sortie et le logiciel de l’opérateur. Il utilise également des librairies DLL malveillantes pour enregistrer le trafic, ce qui « pourrait permettre à un attaquant de modifier un processus à l’insu du process de l’opérateur », souligne les chercheurs. Reste que l’équipe est encore dans le doute sur la façon de procéder pour l’attaque MiTM, elle privilégie une activation manuelle.
De plus Irongate est capable d’éviter les protections de type sandbox et comprend du code anti-analyse pour éviter que les chercheurs puissent fouiller en profondeur le malware. Rusé, il vérifie si des environnements virtualisés de sandbox de type VMware et Cuckoo sont présents. Dans ce cas, le malware ne se télécharge pas.
Des façons de procéder qui rappellent inévitablement Stuxnet. Le virus créé probablement par les Etats-Unis et Israel pour saboter une centrifugeuse d’uranium en Iran, comprenait des modus operandi similaires avec techniques anti-sandbox, cibles équivalentes, etc. Mais il y a des différences entre les deux malwares. Ainsi, Stuxnet vérifiait la présence d’anti-virus, Irongate détecte des environnements d’observation et d’exécution contrôlée de logiciels malveillants.
Il reste des zones d’incertitude. FireEye a été incapable de relier Irongate avec une campagne de cybersécurité ou un groupe de cybercriminels. Ce qui fait dire aux chercheurs qu’Irongate en est au stade de prototype. Il faut espérer qu’ils aient raison.
A lire aussi :
Sécuriser les Scada : « ce sera cher et difficile », dit Kaspersky
Scada : des hackers manipulent le retraitement des eaux
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…