chungking - Fotolia
Qui s’intéresse au nucléaire civil américain ?
Depuis plusieurs mois, une nouvelle campagne de hameçonnage semble viser les employés d’opérateurs de centrales nucléaires, tout particulièrement aux Etats-Unis, mais pas uniquement.
Le secteur américain de l’énergie, et plus particulièrement du nucléaire civil, semble avoir attiré l’attention appuyée d’attaquants informatiques. C’est fin juin, alors que tous les regards étaient tournés vers l’Ukraine et l’émergence de NotPetya, que nos confrères d’E&E News ont révélé l’incident, désigné par « Nucléaire 17 », ou « Nuclear 17 » en anglais. Ils expliquaient alors que les autorités américaines enquêtaient sur des tentatives d’intrusion dans les systèmes informatiques de « multiples sites de production électrique nucléaire cette année ». Et celles-ci ont alerté les énergéticiens du pays, dans un rapport produit conjointement par le FBI et ministère de l’Intérieur, le DHS.
Selon ce rapport, consulté par Reuters, des attaquants tentent depuis le mois de mai de collecter des identifiants d’employés du secteur de l’énergie, par hameçonnage, pour prendre pied sur les systèmes d’informations des organisations où ils travaillent. Certaines de ces opérations de phishing ciblé auraient réussi. Mais selon le FBI et DHS, pour l’heure, l’impact resterait limité aux systèmes d’information. Les systèmes opérationnels (ICS/Scada) seraient donc épargnés et il s’agirait plus, à ce jour, de reconnaissance qu’autre chose.
Dans un billet de blog, les équipes de Talos, chez Cisco, détaillent des tentatives de phishing semblant liées, même si elles se gardent de faire explicitement le lien : « depuis au moins mai 2017, Talos a observé des attaquants visant les entreprises de l’énergie et des infrastructures critiques à travers le monde, principalement en Europe et aux Etats-Unis ».
Comme dans l’opération mentionnée par la presse outre-Atlantique, il s’agit de courriels adressés de manière ciblée avec de prétendus « rapports environnementaux ou curriculum vitae ». Des documents bureautiques exempts de macros et qu’il serait tentant de trouver anodins. Mais voilà, à leur ouverture, ils cherchent « à récupérer un fichier modèle à partir d’une adresse IP spécifique », via les protocoles WebDAV et SMB.
Las, durant l’enquête des équipes de Talos, « le serveur SMB contrôlé par l’attaquant était inactif » et il n’a donc été possible de se pencher sur la charge utile que le fichier modèle pourrait avoir servi à déposer. Même situation pour le FBI et le DHS dont les enquêteurs, selon le New York Times, n’ont pas été en mesure d’examiner la charge utile.
Ce genre d’opération ciblée n’est pas une première. Déjà en 2013, AlienVault et Invincea, entre autres, avaient fait état d’une attaque par point d’eau – ou waterholing – visant les personnels travaillant sur le nucléaire, aux Etat-Unis : le site Web du ministère américain de la santé avait été piraté pour accueillir, sur l’une de ces pages, un logiciel malveillant.
A l’automne dernier, Yukiya Amano, le directeur de l’agence internationale de l’énergie atomique (AIEA), avait révélé qu’une attaque informatique avait, deux ou trois ans plus tôt, affecté le fonctionnement d’une centrale nucléaire. Et d’assurer que la menace doit être prise « très au sérieux ».
Fin 2015, Chatham House alertait, estimant que le risque d’attaque sur des centrales nucléaire allait croissant, aidé notamment par le recours toujours plus important aux systèmes numériques et aux logiciels sur étagère. Et de préciser au passage que « toutes les centrales nucléaires en France sont connectées à Internet ». A noter que, depuis, l’arrêté dédié au secteur de l’énergie définissant les obligations des opérateurs d’importance vitale en matière de sécurité des systèmes d’information a été publié l’an passé.
Récemment, Eset et Dragos se sont penchés sur un nouveau framework de logiciels malveillants apparemment conçu spécifiquement pour affecter les réseaux de distribution d’électricité, Industroyer/CrashOverride. Très modulaire, il pourrait être adapté rapidement pour supporter de nouveaux protocoles ICS/Scada. Selon Dragos, ce framework a déjà utilisé, fin décembre dernier, en Ukraine, et serait opéré par un groupe aux liens directs avec l’équipe Sandworm à l’origine de BlackEnergy.