Malware : un cousin de Furtim cible les énergéticiens européens

SentinelOne a découvert une variante du malware Furtim qui vise les sociétés européennes dans le domaine de l’énergie. Un Etat se cacherait-il derrière cette menace ?

En mai dernier, des chercheurs la société EnSilo ont découvert un malware baptisé Furtim qui devait son nom à une obsession virant à la paranoïa de ne pas être détecté par les outils de sécurité. De la préparation à son installation jusqu’à son implémentation, le malware scrute, analyse et bloque tout ce qui touche de près ou de loin à la sécurité IT.

Il semble que ce malware revienne sous une autre forme pour s’attaquer au système industriel des entreprises énergétiques européennes. Des chercheurs de SentinelOne l’ont détecté au sein du réseau d’un énergéticien européen. Cette menace a un nom, SFG, et a été trouvée à la fois par une remontée d’information des logiciels de SentinelOne, mais aussi sur des forums privés. Les experts ont travaillé sur les échantillons pour comprendre son fonctionnement. Les résultats de cette analyse montrent que le comportement, la sophistication et la furtivité du malware sont l’œuvre d’un Etat ou pour le moins d’une organisation soutenue par un gouvernement. Les experts penchent pour une initiative provenant de l’Europe de l’Est.

Jusqu’au sabotage du réseau énergétique

Dans le détail, le cousin de Furtim s’appuie sur les mêmes exploits pour éviter d’être repéré par les outils de sécurité (antivirus, firewall next gen, solution endpoint, sandboxing). Plusieurs développeurs de haut niveau ont mis la main à la pâte pour perfectionner SFG. L’objectif est multiple, extraire des données ou faire tomber le réseau d’énergie, sans laisser de traces. Le malware affecte toutes les versions de Windows, précise SentinelOne dans un blog. Il situe ses débuts au mois de mai dernier et il est encore actif.

Ce n’est pas la première fois que les entreprises énergétiques sont visées par des malwares ayant pour ambition le sabotage du réseau. On pense bien évidemment au premier virus qui visait les SCADA, Stuxnet. Mais plus récemment, l’Ukraine a été victime d’une panne de courant provoquée par une cyberattaque s’appuyant sur le malware Blackenergy. Ce type de menaces est pris très au sérieux par les gouvernements au point de forcer les entreprises à remonter leurs niveaux de sécurité. En France, l’ANSSI peaufine les arrêtés sectoriels sur la sécurité des OIV (opérateurs d’importance vitale) notamment dans le domaine de l’énergie.