jirikaderabek - Fotolia
Irongate, le malware qui s’inspire de Stuxnet
Des échantillons d’un nouveau logiciel malveillant visant les systèmes de contrôle industriel ont été découverts l’an passé. Ils reprennent certains concepts d’attaque utilisés par Stuxnet.
Au seconde semestre de 2015, FireEye a mis la main des échantillons d’un logiciel malveillant conçu pour altérer des processus industriels en environnement Scada Siemens simulé. Baptisé Irongate, ce logiciel s’inspire du célèbre Stuxnet.
Comme lui, il se concentre ainsi sur un processus « unique, hautement spécifique », explique FireEye dans un billet de blog. Pour cela, il remplace des librairies à chargement dynamique (DLL) légitimes par son propre code. De quoi lui permettre d’intercepter les échanges entre le logiciel de contrôle des processus industriels visés, et les automates programmables (PLC) commandés. « La DLL malicieuse enregistre 5 secondes de trafic normal entre un PLC et l’interface utilisateur, et le rejoue, tout en envoyant des données différentes au PLC ». Une première différence avec un Stuxnet qui se contentait de suspendre l’exécution normal du processus visé pour une durée donnée.
Sans surprise, Irongate vérifie qu’il peut s’exécuter en toute confiance sur son hôte. Mais là où Stuxnet vérifiait la présence d’anti-virus, son lointain cousin détecte des environnements d’observation et d’exécution contrôlée de logiciels malveillants, affichant un niveau de sophistication plus élevé.
Siemens assure à FireEye qu’Irongate n’est pas, en l’état, un logiciel malveillant opérationnel contre ses systèmes de contrôle industriel (ICS). Pour le spécialiste de la sécurité, les échantillons observés dénotent dès lors un prototype. Et cela d’autant plus qu’ils semblent s’appuyer sur des informations publiquement disponibles sur Internet. En outre, ces échantillons s’appuient sur des charges utiles qui doivent être exécutées manuellement. Pour l’heure, FireEye indique n’avoir pas identifié le vecteur d’infection.