Le malware Pipedream est de mauvaise augure pour la sécurité OT
Le gouvernement américain a émis une alerte de sécurité concernant Pipedream, le malware récemment découvert susceptible d'être utilisé pour compromettre un large éventail de systèmes de contrôle industriel (ICS).
Certains acteurs de menaces persistantes avancées (APT) ont montré qu'ils étaient capables de complètement s'immiscer dans plusieurs systèmes de contrôle industriel (ICS) et systèmes de contrôle et d'acquisition de données (SCADA). C'est ce qu'ont conjointement déclaré le ministère de l'Énergie américain, la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI) dans un avis émis sur la cybersécurité (CSA).
L'architecture modulaire de Pipedream, associée à sa capacité d'effectuer des exploits hautement automatisés contre les dispositifs, rend ses logiciels malveillants particulièrement dangereux. D'après l'alerte émise par le gouvernement américain, son fonctionnement repose sur une console virtuelle associée à une interface de commande qui reflète l'interface du dispositif ICS/SCADA ciblé. Les autorités fédérales ont ainsi démontré que les cybercriminels peuvent rechercher les dispositifs ciblés, effectuer une reconnaissance de ses détails, télécharger une configuration ou un code malveillant sur celui-ci, sauvegarder ou restaurer son contenu et en modifier les paramètres.
Certes, il n'y a pas encore de preuve de compromission. Cependant, le CSA souligne également que Pipedream est conçu pour permettre aux cyberacteurs peu avertis d'imiter les capacités d'acteurs plus chevronnés. Les équipes de cybersécurité doivent donc partir du principe que les cybercriminels se préparent à opérationnaliser des attaques ICS, de la même manière qu'il existe des plateformes qui permettent à ces derniers d'exploiter des plateformes de ransomware pour lancer des cyberattaques à grande échelle.
Les préoccupations relatives à la sécurité des environnements de technologies d'exploitation (OT), qui s'articulent généralement autour d'un certain type d'ICS, remontent à la découverte de Stuxnet, un ver malveillant qui ciblait les systèmes de contrôle de surveillance et d'acquisition de données utilisés par l'Iran dans le cadre de son programme d'armement nucléaire.
Stuxnet ciblait des machines exécutant le logiciel Step7 de Siemens sur des automates programmables fonctionnant sous Windows. Au total, sept types de malwares ICS ont été découverts. Cette dernière alerte est potentiellement plus inquiétante car elle peut avoir un impact sur la plupart des plateformes ICS, y compris les offres d'Omron, Schneider Electric, Modbus, CODESYS et OPC UA. Pipedream aurait par ailleurs été conçu par un groupe de hackers répondant au nom de « Chernovite », spécialisé dans le développement de malwares ICS. Bien qu'il n'ait pas encore été découvert, le temps et les efforts nécessaires pour trouver et supprimer ses instances pourraient s'avérer assez conséquents.
En attendant, les équipes chargées de la cybersécurité feraient mieux de se familiariser avec les plateformes OT. Historiquement, bon nombre des systèmes OT actuellement déployés n'étaient initialement pas connectés à Internet. Avec l'essor des applications de l'Internet des objets (IoT), nombre d'entre eux le sont désormais. Pourtant, les équipes OT chargées de gérer ces plateformes ont généralement peu d'expertise en matière de cybersécurité. La plupart du temps, elles s'appuient sur les équipes chargées de la sécurité informatique pour obtenir de l'aide, mais ces dernières sont déjà débordées. En effet, elles n'ont ni le temps ni les outils nécessaires pour assumer cette responsabilité.
En réalité, la sécurité OT pourrait être gravement compromise si les attaques automatisées ICS s'implantaient durablement. En effet, ce n'est plus qu'une question de temps avant que la prochaine version de Pipedream, qui simplifie considérablement le lancement de ce type d'attaques à grande échelle, ne s'impose véritablement.
