Trisis : l’échec bien involontaire d’un groupe appelé à ne pas le reproduire

C’est mi-décembre dernier que les équipes de Mandiant et de Dragos ont levé le voile sur Triton, soulignant au passage eux-aussi la nature hautement ciblée de l’opération : « chaque système de sûreté industriel (SIS) est unique ; comprendre les implications des processus en nécessite une connaissance spécifique ».

Pour les équipes de Dragos, si celui qu’ils appellent Trisis s’inscrit dans la lignée de Stuxnet et d’Industroyer, ou encore d’Havex, il marque toutefois un tournant : il s’agit du premier maliciel conçu pour les systèmes de sûreté industrielle (SIS), et peut servir de modèle pour d’autres. Sur Twitter, Robert M. Lee, le patron de Dragos, ne cache pas son inquiétude : le groupe à l’origine de Trisis, baptisé Xenotime, « m’ennuie profondément », indique-t-il.

Car la réalité est là : « quelqu’un qui vise les systèmes de sûreté, ou entend le faire, ou seulement accepte que quelqu'un le fasse, est prêt à tuer. Cela ne veut pas dire que c’est imminent, mais c’est une réalité ».

Si Robert M. Lee est préoccupé, c’est notamment parce que selon lui et ses équipes, le groupe Xenotime a déjà étendu ses activités au-delà du Moyen-Orient où se trouve sa victime dans l’infrastructure de laquelle a été découvert Trisis.

Et ce n’est pas tout. Trisis avait été développé spécifiquement pour les SIS de la gamme Triconex de Schneider Electric. Il s’appuyait sur une vulnérabilité vieille de 16 ans mais inconnue jusqu’alors. Cette spécificité ne doit cependant pas cacher la structure modulaire, et flexible de Trisis : écrit en Python, ce maliciel peut aisément être adapté à d’autres SIS, et servir de modèle pour d’autres. Et cela d’autant plus que son code source a été rendu public.

I don’t ever get hyped out and I hate FUD. But Xenotime bothers me to my core. It doesn’t need hyped because folks in the ICS security community understand the importance of this. Now we all have to go to work. And we can get it done.

— Robert M. Lee (@RobertMLee) May 24, 2018

Justement, selon Dragos, le groupe Xenotime, qui serait actif depuis au moins 2014, « opère aujourd’hui dans de multiples installations [industrielles], visant des systèmes de sûreté au-delà de Triconex ». Rien que cela, pour Robert M. Lee, devrait suffire à « déranger tout le monde », car « si vous avez un système de sûreté [industrielle], vous devriez prendre ce risque en considération ».

La bonne nouvelle ? Xenotime ne s’appuie pas – au moins pour l’heure – sur des choses inédites ou non documentées : « n’importe quel niveau de supervision industrielle et de détection de menace devrait pouvoir détecter sans trop de difficulté les activités correspondantes ». Mais encore faut-il au moins assurer cette supervision.

Quoi qu’il en soit, pour Dragos, si Trisis a été découvert, c’est grâce à une erreur de jeunesse de Xenotime. Une erreur qui ne se reproduira probablement pas.