chungking - Fotolia
Alerte au cyber-espionnage contre les énergéticiens occidentaux
Selon Symantec, le groupe Dragonfly est de retour pour une nouvelle campagne d’espionnage visant les entreprises occidentales du secteur de l’énergie.
Le groupe Dragonfly, aussi connu sous le nom d’Energetic Bear, est de retour. Selon Symantec, il pilote une vaste campagne d’espionnage, ciblée sur les énergéticiens occidentaux, depuis la fin 2015. Pas question semble-t-il, à ce stade, d’opérations offensives comme du sabotage : en l’état, les attaquants semblent s’être limités à de la reconnaissance et à de la collecte d’informations.
Ce n’est pas la première fois que ce groupe lance ce type de campagne. Déjà en juillet 2014, Symantec sonnait le tocsin, assurant que Dragonfly avait déjà réussi à collecter des données permettant de conduire des opérations de sabotage. A l’époque, l’éditeur l’assurait : « s’ils avaient utilisé les capacités de sabotage qui leur sont offertes, ils auraient pu causer des dommages et des perturbations dans la fourniture énergétique des pays affectés ». Parmi eux : les Etats-Unis, l’Espagne, la France, l’Italie, l’Allemagne, la Turquie et la Pologne. Aujourd’hui, les principaux pays concernés seraient les Etats-Unis, la Suisse et la Turquie.
Il pourrait y avoir un lien avec les opérations de hameçonnage observées par Cisco depuis le début de l’année, visant le secteur américain de l’énergie, et tout particulièrement le nucléaire civil : le même kit, apparu fin 2016, a été utilisé. Mais en l’état, Symantec ne s’avance pas.
Mais le groupe Dragonfly ne s’arrête pas à cela. Pour compromettre ses cibles, il utilise aussi les attaques par point d’eau – ou waterholing – pour collecter des identifiants réseau, en visant « des sites Web susceptibles d’être visités par ceux impliqués dans le secteur de l’énergie ». Et à cela, il convient d’ajouter des versions modifiées en cheval de Troie d’applications Windows.
Selon Symantec, les premières campagnes de Dragonfly pourraient n’avoir été qu’exploratoires, tandis que désormais, le groupe cherche à accéder aux systèmes de contrôle industriel (ICS/Scada) de ses cibles. Et l’éditeur de s’inquiéter de la capacité du groupe à réaliser des captures d’écran des interfaces homme-machine de ces systèmes.
Chez Dragos, Robert Lee affiche toutefois certaines réserves. Pour lui, pouvoir accéder à ces interfaces ne traduit pas de capacité réelle à conduire des attaques : « il faut concevoir une nouvelle capacité, comme Crashoverride [issu d’un autre groupe connu pour son intérêt pour les systèmes ICS/Scada de l’énergie, Sandworm, NDLR], ou intervenir manuellement ». Problème, « ce serait hautement inefficace ».
Pour lui, donc, la découverte de Symantec est « très importante », mais une réponse politique lui apparaît aujourd’hui indispensable, ne serait-ce qu’en condamnant les attaques observées, comme celles qui ont frappé l’Ukraine à répétition au cours de ces dernières années.
Chez Varonis, Ken Spinner, vice-président en charge de l’ingénierie de terrain, ne cache de son côté pas son absence de surprise : « les énergéticiens devraient partir du principe qu’elles ont déjà été piratées avec succès et que des menaces avancées persistent, dormantes, dans leur environnement ».