Andrei Merkulov - stock.adobe.co

ICS/Scada : selon FireEye, Triton serait l’œuvre de gougnafiers russes

L’éditeur estime, avec un niveau de confiance élevé, que ce maliciel visant les systèmes de sûreté des environnements industriels a été déployé avec la bienveillance d’une institution publique de recherche technique en Russie.

Le logiciel malveillant Triton/Trisis pourrait bien avoir été développé avec l’assentiment du gouvernement russe. C’est du moins la perspective que laisse entrevoir FireEye, société de cybersécurité. Dans un billet de blog, l’éditeur estime ainsi, avec un « haut niveau de confiance », que « les activités intrusives ayant conduit au déploiement de Triton étaient soutenues par l’Institut central de recherche scientifique en chimie et mécanique (CNIIHM), une institution de recherche technique propriété de l’Etat russe et située à Moscou ».

C’est mi-décembre dernier que les équipes de Mandiant et de Dragos ont levé le voile sur Triton, soulignant au passage la nature hautement ciblée de l’opération : « chaque système de sûreté industrielle (SIS ou ICS en anglais) est unique ; comprendre les implications des processus nécessite une connaissance spécifique ». Pour mémoire, Triton, aussi appelé Trisis, a été développé spécifiquement pour les SIS de la gamme Triconex de Schneider Electric, en s’appuyant sur une vulnérabilité vieille de 16 ans, mais inconnue jusqu’alors.

Aujourd’hui, FireEye assure avoir découvert des activités de développement de maliciels « qui soutiennent très probablement l’activité du groupe TEMP.Veles » - aussi appelé Xenotime par Dragos. Et cela recouvre notamment le test de plusieurs versions du maliciel, « dont certaines ont été utilisées durant l’intrusion Triton ».

Et ce sont ces activités qui, selon FireEye, permettent de remonter au CNIIHM, et même à « une personne précise à Moscou », dont les activités en ligne indiquent également des liens avec ce centre de recherche.

FireEye n’exclue pas l’éventualité d’une action isolée d’un employé du CNIIHM, mais estime cette hypothèse peu probable, notamment en raison du travail de recherche et développement qu’a nécessité la mise au point de Triton. Et pour l’éditeur, « les caractéristiques du CNIIHM sont cohérentes avec ce que l’on peut attendre d’une organisation responsable de l’activité de TEMP.Veles ».

Dans un rapport d’étude de Triton publié dans le courant de l’été, des chercheurs de Nozomi Networks, un spécialiste de la sécurité des systèmes industriels, ne manquent d’ailleurs pas souligner toute la difficulté qu’ils ont eu à reproduire un environnement Triconex dans lequel effectivement étudier le maliciel. Pour des questions de coûts, mais également de mode de distribution des produits.

Fin mai dernier, Robert M. Lee, le patron de Dragos, ne cachait pas son inquiétude : « quelqu’un qui vise les systèmes de sûreté, ou entend le faire, ou seulement accepte que quelqu’un le fasse, est prêt à tuer. Cela ne veut pas dire que c’est imminent, mais c’est une réalité ».

Pour approfondir sur Cyberdéfense