Industroyer, la menace la plus importante depuis Stuxnet

Industroyer, que vient de découvrir ESET, est un malware extrêmement dangereux, conçu pour perturber les processus des infrastructures critiques.

Des chercheurs d’ESET ont analysé des échantillons  de ce malware, détecté sous le nom de Win32/Industroyer, capable d’attaquer l’alimentation électrique d’une infrastructure de fournisseur d’énergie. Ce malware était probablement impliqué dans l’attaque de décembre 2016, qui avait privé d’électricité une partie de Kiev, la capitale ukrainienne : 225 000 personnes s’étaient alors vues privées d’électricité en plein cœur de l’hiver…

S’il n’a été utilisé qu’à petite échelle jusqu’à présent, il a été conçu de manière à pouvoir infiltrer et saboter presque n’importe quel réseau électrique en Europe. Et ce, de manière quasi-automatique. Un scénario catastrophe qui semble malheureusement de plus en plus plausible.

Son mode de fonctionnement n’est pas sans rappeler Stuxnet, le malware élaboré par les services de cyberguerre des Etats-Unis et d’Israël pour saboter les centrales nucléaires iraniennes, dont la découverte en 2010 avait fait scandale. Mais contrairement à Stuxnet, Industroyer est potentiellement beaucoup plus dangereux, car il peut s’attaquer à un très grand nombre d’infrastructures critiques et avec un impact direct sur la population.

Industroyer est capable de cartographier le réseau informatique interne d’une station électrique et de le saboter sans intervention humaine ou presque. Il est ainsi fort probable que l’attaque détectée en décembre dernier n’ait été qu’un test… avant une opération de plus grande ampleur ! «L’attaque récente du réseau électrique ukrainien devrait servir de coup de semonce pour tous les responsables de sécurité critique dans le monde entier», estime Anton Cherepanov, Senior Malware Researcher, ESET.

Le malware s’attaque directement au système SCADA (Supervisory Control and Data Acquisition) qui surveille et contrôle de façon centralisée l’ensemble des équipements d’un industriel (généralement répartis sur plusieurs sites). Il tire parti de l’ancienneté des protocoles, qui ne prennent typiquement pas en compte la problématique cybersécurité, pour saboter le fonctionnement des opérations. L’impact potentiel  d’une telle attaque peut stopper  la distribution d’électricité, déclencher des pannes en cascade et causer des dommages encore plus importants aux équipements.

«Le fait qu’Industroyer puisse persister dans le système et interférer directement avec du matériel industriel en fait la menace malware la plus dangereuse pour les systèmes de contrôle industriels depuis l’infâme Stuxnet, qui a réussi à attaquer le programme nucléaire iranien et fût découvert en 2010», conclut Anton Cherepanov.