Havex Caesar

Par Maxime de Jabrun.

SCADA, ICS, OPC, PLC1 tant d’acronymes incompréhensibles pour les non-initiés. Mais quel rapport ont-ils entre eux ?

Réponse : Ces acronymes sont tous liés au secteur industriel, plus précisément aux systèmes de contrôles industriels.

Pourquoi vous parle-t’on du secteur industriel ? Parce que comme une cité romaine impénétrable l’industrie est longtemps restée à l’écart des problèmes de sécurité liés au virus, trojan ou malware. Cependant toutes les périodes de gloire ont une fin et la découverte récente d’un malware nommé Havex en témoigne.

A l’instar du cheval de Troie (celui d’Ulysse et Epéios), le malware Havex brise les remparts des systèmes industriels en infectant directement les sites web des fournisseurs d’équipements de contrôle industriel. En effet des chercheurs en sécurité ont trouvé plusieurs traces du fichier mbcheck.dll (ndlr le malware Havex) directement dans les mises à jour logicielles des équipements sur les sites internet, non sécurisé, de certains fournisseurs. Cette méthode d’infection est particulièrement astucieuse, car sans le savoir les industriels compromettent leur système avec un logiciel provenant d’une « source de confiance ». Cela n’est pas sans rappeler un évènement des années 2000 où un virus connu sous le nom de « Tchernobyl » avait réussi à se retrouver livré préinstallé dans des PC.

Une fois les remparts franchis, grâce à l’installation du logiciel vérolé, Havex agit comme un « RAT » : Remote Access Trojan. Il offre ainsi aux hackeurs une porte d’entrée (ndlr un port de communication resté ouvert) dans le réseau infecté permettant la prise de contrôle à distance du poste. Par la suite, il établit une communication avec un serveur de contrôle et de commande (C&C) qui peut également transmettre au poste infecté de nouveaux fichiers ajoutant des fonctionnalités au malware. L’une de ses principales fonctionnalités est de scanner le réseau sur lequel évolue Havex et d’identifier les équipements qui répondent aux requêtes du « protocole » OPC1 (ndlr c’est une technique de communication majoritairement utilisé en milieu industriel pour son interopérabilité).

Havex récupère ainsi les informations (le nom du revendeur, la version du matériel, le statut, les identifiants, …) sur les équipements de contrôle industriel. Finalement, toutes ces informations sont stockées, chiffrées et envoyés au serveur C&C distant pour une analyse ultérieure par les hackeurs.

Les analyses des experts sécurité ne démontrent pour le moment pas de capacité de prise de contrôle du matériel industriel à distance, mais ils n’excluent pas non plus de voir ce scénario dans de futures versions du malware.

Le secteur de l’énergie semble dans la ligne de mire des hackeurs. Un éditeur de solutions sécurité a établi une liste2 des principaux acteurs de ce secteur étant touchés. Il s’avère que l’Europe est la cible principale. Mais aussi bien sûr les Etats-Unis !

Pour l’heure, la communauté sécurité s’accorde à dire que les impacts liés à Havex restent contenus. En revanche, si le malware venait à évoluer, il pourrait être capable de prendre le contrôle et/ou modifier la logique des équipements présents dans le réseau infecté. Havex pourrait ainsi engendrer des dégâts beaucoup plus importants (ndlr selon les secteurs, au-delà de pertes financières majeures, des pertes humaines pourraient même être envisageables !)

Pour savoir si votre système est infecté, plusieurs possibilités:

  • Recueillir et analyser les logs réseau;
  • Effectuer un scan antivirus avec les dernières bases de signatures antivirales sur les équipements.

Enfin, pour se prémunir contre le malware Havex, l’ICS CERT donne une liste détaillée3 des mesures à prendre en compte, parmi lesquelles :

  • l’utilisation de tunnel ou la restriction du nombre de port pour les communications OPC;
  • la mise en place de VLANs pour segmenter son réseau;
  • la sécurisation des communications OPC via des comptes qui possèdent le moins privilèges;
  • l’utilisation de listes de contrôle d’accès strictes et des protocoles d’authentification pour l’accès au niveau réseau des clients et serveurs OPC.

Nous savons tous que tous les chemins mènent à la NSA, euh Rome !! Mais qui est donc réellement derrière Havex? « Energetic Bear » ? Les Russes ? Les chinois ? Caesar?

 

1 Supervisory Control And Data Acquisition : Un système de contrôle et d’acquisition de données est un système de gestion à distance permettant de traiter en temps réel un grand nombre de données collectées et de contrôler à distance des installations techniques.

Industrial control system : Un terme général qui englobe plusieurs types de systèmes de contrôle utilisés dans la production industrielle.

OLE for Process Control (OLE : Object Linking and Embedding) : Une technique permettant à différents applications Windows d’accéder de remonter des informations provenant des dispositifs de contrôle de processus, comme les PLC.

Programmable Logic Controller : Un API en français (automate programmable industriel), est un dispositif électronique programmable destiné à la commande de processus industriels par un traitement séquentiel.

2 http://www.symantec.com/connect/blogs/emerging-threat-dragonfly-energetic-bear-apt-group 

3 https://ics-cert.us-cert.gov/advisories/ICSA-14-178-01