Articles Tagués ‘malware’

triton5

J’avais déjà souligné dans ce blog les dangers des « malware » ciblant les infrastructures industrielles. Et cela fait effectivement froid dans le dos : on imagine ainsi des centrales nucléaires attaquées ou sous le contrôle à distance de groupes terroristes. Ou des installations critiques de production infectées par un virus provoquant un emballement des machines – se rappeler à ce sujet l’effet dévastateur du virus STUXNET sur les centrifugeuses iraniennes d’enrichissement d’uranium… Or dans notre société hyperconnectée, la menace d’une attaque de type malware sur une infrastructure industrielle est hélas bien d’actualité.

On connaissait ainsi les malwares CRASHOVERRIDE ou encore INDUSTROYER qui ont été employés par des hackers en 2016 pour attaquer une sous-station électrique en Ukraine, près de Kiev, ce qui a provoqué une importante coupure d’électricité. Mais généralement, les cas documentés sont rares et les industriels sont réticents à donner des informations précises sur l’effet de ces attaques. C’est pourquoi l’histoire de TRITON (ou TRISIS) est particulièrement intéressante.

triton8

A la dernière « S4 security conference » qui s’est tenue à Miami entre le 16 et le 18 janvier dernier, des ingénieurs de Schneider Electric ont ainsi publiquement rendu compte d’une attaque par malware sur leurs infrastructures, à l’aide d’un logiciel appelé TRITON.

TRITON (également connu sous le nom de TRISIS, donc), est un malware spécifiquement conçu pour s’attaquer aux infrastructures industrielles du groupe Schneider. C’est donc une arme de précision, conçue pour s’attaquer aux produits TRICONEX développés par cet industriel particulier. Ces composants, appelés Safety Instrument Systems (SIS), sont conçus pour surveiller le fonctionnement des installations, et, le cas échéant, déclencher des alertes ou même des coupures des infrastructures menacées, en l’occurrence des centrales nucléaires ou des installations pétrolières ou gazières. Les produits TRICONEX sont dits « fail-safe », car en cas de problème, ils permettent de stopper de manière sûre les installations concernées (et, par effet de cascade, tous les autres équipements qui en dépendent).

triton6

TRITON cible le code caractéristique des équipements TRICONEX, afin de s’y connecter et d’y injecter de nouvelles instructions, avec en toile de fond la possibilité que ces instructions provoquent un « crash » de l’équipement. Le souci : un équipement TRICONEX est un « filet de sécurité » pour les installations industrielles. Un crash d’un tel équipement est donc potentiellement gravissime et pourrait susciter un emballement des installations, une explosion, une fuite d’aérosols dans l’environnement ou encore une marée noire.

triton7

A la conférence S4, les ingénieurs de Schneider ont (et c’est une première) révélé leur analyse complète de ce malware et des attaques qui ont déjà été tentées. Tout commence par une faille de sécurité dans l’OS TRICON (sans commentaire…) des produits TRICONEX. Certes des anciennes versions, mais une faille néanmoins. Le malware attaque les équipements concernés en conduisant une véritable analyse de vulnérabilité du système. Le but? Installer (et ceci c’est nouveau) un “cheval de Troie” de type RAT (Remote Access Trojan), en gros un moyen de pouvoir injecter à distance des instructions malveillantes dans le système. C’est la première fois qu’un tel système emploie ce degré de sophistication en ciblant expressément une installation industrielle, ce qui pose d’ailleurs la question de savoir si de tels chevaux de Troie sont déjà positionnés dans des systèmes opérationnels – avec plus de 18 000 équipements TRICONEX déployés, la question est loin d’être anodine.

triton4

Dans le cas de l’attaque documentée par Schneider, le malware a été identifié sur une station de travail dont la fonction était de programmer à distance les systèmes TRICONEX, au travers d’un logiciel baptisé Trilog. Le code de TRITON a été conçu de telle manière à pouvoir se substituer à Trilog, afin de dialoguer directement avec les systèmes TRICONEX et modifier leur logique de contrôle. C’est donc bien l’infection de la station de contrôle (et non de l’équipement lui-même) qui a permis au malware de cibler les équipements.

triton2

Alors certes, il faut nuancer le propos : dans le cas de TRITON, l’attaque est très complexe et nécessite de connaître le processus industriel visé, la logique de contrôle TRICONEX dépendant de la nature du processus surveillé. Il faut donc connaître ce processus ainsi que l’installation industrielle elle-même pour mener à bien l’attaque, des compétences évidemment rares.

Cette histoire souligne donc la réalité de la vulnérabilité des installations de contrôle industriel. Les équipements industriels doivent être considérés comme des systèmes complexes, connectés en permanence, et formant, suivant la formulation d’Aristote, un « tout qui représente plus que la somme de ses parties ». Leur vulnérabilité peut avoir des conséquences rapides, lourdes et surtout imprévisibles. Cette hyperconnectivité ne doit pas être considérée comme un phénomène anodin, ou une simple tendance de société, car ce qui se joue aujourd’hui, c’est finalement l’inéluctable intrication des mondes physique et virtuel.

Comme le montre le cas de TRITON, un malware informatique peut engendrer des conséquences physiques réelles et dévastatrices dans la « vraie vie » – saluons d’ailleurs la transparence de Schneider Electric, plutôt rare dans l’industrie. L’hyperconnectivité engendre donc l’hyper-vulnérabilité. Partant, considérer la menace potentiellement hébergée dans la dimension cyber devient une impérieuse nécessité : tout équipement futur porte en lui les graines de sa propre vulnérabilité.

Alors qu’un ordinateur grand public reçoit une mise à jour corrective par semaine afin d’éviter toute exploitation d’une faille potentiellement exploitable, il ne peut en être de même d’un équipement industriel (ou même d’un équipement militaire). Il est donc indispensable de penser en amont des mécanismes de sécurité de l’information intrinsèques, capables d’évoluer au gré du cycle de vie des équipements, et permettant une résilience indispensable.

dedrone2

Dans le domaine de la lutte anti-drones, il y a autant de stratégies que d’acteurs, et cela va de l’utilisation d’oiseaux de proie dressés à leur interception (si,si), à l’envoi de drones chasseurs de drones, en passant par l’utilisation d’armes à énergie dirigée (voire l’utilisation de carabines). Avec un effet recherché constant : capturer ou faire chuter le drone, ce qui pose de nombreux problèmes notamment en cas de survol de zones habitées.

Dans cette course à l’armement, l’allemand Deutsche Telekom et son partenaire DeDrone ont adopté une stratégie qui peut faire penser à l’Iron Dome de défense antimissile israelien: constituer un dôme virtuel de protection, appelé Magenta Drone Protection Shield, implémentant une panoplie de contre-mesures anti-drones allant du plus anodin au plus critique.

dedrone1

Dans un premier temps, l’objectif est de détecter et d’identifier un drone pénétrant dans l’espace aérien sensible. En soi, c’est déjà une tâche complexe. Elle nécessite une combinaison de capteurs ; en l’occurrence des caméras dans le visible et l’infrarouge, des scanners de fréquence (conçus par Rhode & Schwartz), des réseaux de microphones – y compris dans le spectre ultrasonique (construits par Squarehead), des radars (Robin).

De la même manière qu’un sonar (ou un logiciel antivirus), chaque drone se voit ainsi attribuer une « signature » caractéristique, constituée d’une combinaison de ces détections. Cette signature unique, baptisée « DroneDNA » par la société, est hébergée sur un serveur Cloud,  et permet non seulement la détection, mais surtout l’identification du drone et de ses caractéristiques par un système de reconnaissance et de classification automatique. Inutile de le préciser : le système discrimine évidemment entre un drone, un oiseau ou un hélicoptère…

dedrone3

Une fois le drone identifié vient le temps des contre-mesures. Au-delà des actions classiques (aveuglement par laser, ou brouillage des fréquences qui sont des solutions éprouvées), DroneTracker implémente également une panoplie d’actions plus… ésotériques. Pour l’instant, en analysant la solution, il semble que ces contre-mesures soient déléguées à des systèmes tiers, mais deux d’entre elles ont retenu mon attention.

La première, c’est l’émission d’un signal de type EMP courte portée dirigé. Pour mémoire, l’EMP (ElectroMagnetic Pulse – IEM en français) est une émission d’ondes électromagnétiques brève (pulse) et de très forte intensité qui peut détruire de nombreux appareils électriques et électroniques et brouiller les communications. L’effet EMP (ou effet Compton) a été observé pour la première fois lors des essais nucléaires menés par les Etats-Unis dans l’espace en 1962, et baptisés Starfish Prime (photo ci-après). Lors de l’explosion d’une bombe de 1,44 mégatonnes à 400km d’altitude, 300 lampadaires d’Hawaï ont été éteints (ils se situaient à plus de 1400 km), les alarmes des maisons et des véhicules ont été déclenchées, les systèmes avioniques ont été endommagés, et les réseaux de communication neutralisés.

dedrone5

Utiliser une impulsion EMP pour neutraliser un drone n’est donc pas véritablement anodin (il faut espérer qu’aucun hélicoptère ne se trouvera dans les parages). Mais les armes à énergie dirigée de type EMP existent bien, et dans un prochain article, nous ferons un focus sur celles-ci. Reste ensuite à examiner si leur emploi (soumis de toutes façons à autorisation) est bien adapté à une telle situation. Sans parler des risques occasionnés par la chute de l’objet.

Mais les concepteurs ont imaginé un autre mode d’action : le déni d’image en connectant un système domotique au DroneTracker. Faisons simple : pour ne pas prendre d’image ou de vidéo, il suffit (d’après les concepteurs) de fermer automatiquement… les fenêtres, les volets, les portes. Ce qu’on pourrait appeler une fausse bonne idée. Imaginons comment des pirates pourraient ainsi s’amuser à faire voler des drones près des installations ciblées aux seules fins de perturber le fonctionnement des portes et des fenêtres.

Un mode d’action qui peut d’ailleurs aller plus loin : des hackers ont ainsi réussi à pirater des ampoules connectées à l’aide d’un drone.  Bon, il s’agissait de chercheurs de l’institut Weizmann qui faisaient une expérience sur les vulnérabilités de l’Internet des objets. En l’occurrence, le drone a été envoyé près d’un immeuble dans lequel se trouvaient des ampoules connectées Philips Hue.

dedrone4

En exploitant une vulnérabilité du logiciel de ces ampoules (car, on ne le répétera jamais assez, les objets connectés sont plus vulnérables, et moins régulièrement mis à jour d’un ordinateur classique), ils ont injecté un programme malicieux (malware) dans une première ampoule. Le malware a été ensuite transmis par la première ampoule aux ampoules adjacentes, créant ainsi un réseau qui a pu être contrôlé à distance par les hackers. En ce cas, la vulnérabilité était davantage dans les standards utilisés pour la connexion des objets que dans le firmware de l’objet lui-même. La vidéo ci-dessous est assez impressionnante, d’autant que le coût d’une telle attaque est de quelques centaines d’euros.

La course aux armements entre systèmes de drones et systèmes anti-drones est donc en train de s’enrichir d’un troisième acteur : l’internet des objets qui peut à la fois constituer un effecteur… et une cible.

fan3

Tout le monde le sait : le meilleur moyen de protéger un ordinateur hébergeant des données sensibles, est de le déconnecter physiquement de tout réseau. C’est ce que l’on appelle « l’air-gap » : l’ordinateur ne possède aucune connexion d’aucune sorte, et est ainsi protégé de toute intrusion… en théorie. C’est évidemment indispensable dès lors que des réseaux d’ordinateurs spécifiques protégés doivent être mis en place : communications militaires, monde bancaire, mais aussi (et cela fera l’objet un article prochain) les réseaux de contrôle ou d’automates industriels critiques (SCADA), qui sont aujourd’hui une vulnérabilité majeure de nos infrastructures (ce sera pour une autre fois).

Car évidemment, dès lors que l’on développe un système de protection, les adversaires cherchent à le contourner. Pour pirater un ordinateur « air-gapped », plusieurs techniques ont déjà été examinées. La plus connue et la plus immédiate est l’interception des ondes électromagnétiques (nous parlerons un jour du système Cottonmouth-I de la NSA), mais il existe d’autres techniques plus exotiques comme l’utilisation et le détournement des patterns dans la chaleur émise par le PC.

fan5

On peut ainsi mentionner un système appelé BitWhisper et développé par des chercheurs de l’université Ben Gurion de Jérusalem, qui utilise l’émission de chaleur de l’ordinateur ciblé ainsi que les senseurs thermiques internes pour intercepter (et communiquer) des informations critiques comme des mots de passe ou clés de sécurité. Les chercheurs ont ainsi montré qu’ils pouvaient intercepter des commandes d’une machine air-gapped – voir la vidéo ci-dessous. En l’occurrence, ils arrivent à faire passer une information entre deux machines non physiquement connectées par le détournement des informations thermiques, arrivant ainsi à contrôler un jouet lance-missile.

Cette technique utilise les fluctuations de température de la carte-mère, et détourne le déclenchement par senseurs internes des ventilateurs permettant le refroidissement. Il s’agit d’un malware (qu’il faut donc implanter sur la cible, ce qui constitue une limite de l’exercice, je le concède), qui utilise, un peu comme un code morse, le déclenchement des senseurs de température interne pour transmettre de l’information à l’ordinateur espion. En pilotant le senseur pour permettre une augmentation de 1°C sur une certaine période, l’ordinateur receveur comprend « 1 ». En permettant la restauration de la température à son niveau initial sur la même période, le receveur comprend « 0 ». C’est long, c’est fastidieux mais c’est suffisant pour récupérer ou transmettre de l’information.

fan4

Ce logiciel va même jusqu’à prendre en compte les fluctuations normales de température afin de s’y « fondre » pour qu’un observateur externe ne puisse pas comprendre qu’une attaque a lieu. Un ordinateur infecté par bitWhisper envoie également un « ping » thermique par ses senseurs, de manière à écouter ses voisins et engager une communication avec un autre ordinateur infecté, et ce dans les deux sens (écoute des données, envoi de commandes). L’article est disponible ici.

Ce sont ces mêmes chercheurs de Ben Gurion qui viennent de mettre au point une nouvelle technique fondée sur l’écoute des ventilateurs de refroidissement du PC. Elle repose sur l’analyse des émissions sonores et de leurs variations ; car si un PC protégé ne possède généralement pas d’enceintes (et que son haut-parleur interne doit être désactivé), il comprend plusieurs ventilateurs : sur la carte mère, le châssis, l’alimentation, … Tous ces ventilateurs génèrent une fréquence sonore (liée à la fréquence de passage des pales), qui augmente avec la vitesse de rotation du ventilateur.

L’idée a alors consisté à développer un nouveau malware, qui va générer du code binaire à partir de la fréquence du ventilateur : 0 pour 1000 rpm, 1 pour 1600 rpm. Un receveur placé à proximité, comme un smartphone, en l’occurrence un Samsung Galaxy S4  avec une fréquence d’échantillonnage de 44.1Hz (voir le dispositif expérimental ci-dessous) va écouter ce code pour transmettre les données piratées. Le malware s’appelle Fansmitter ; il permet de transmettre jusqu’à une distance de 8m l’information à un système de réception à un taux de 900bits/h.

fan1

Il permet même d’utiliser des différences de fréquences sonores de 100Hz pour générer la différence entre le 0 et le 1, afin d’éviter qu’un observateur dans la pièce puisse se rendre compte de l’attaque (alors que le receveur est capable de le faire, même si la pièce est bruitée – en l’occurrence, dans le test effectué par l’équipe de recherche menée par Mordechai Guri, la pièce comportait plusieurs serveurs, un niveau de bruit ambiant habituel et un système de climatisation actif). L’article original peut être téléchargé ici.

Tout ceci permet de montrer qu’un ordinateur air-gapped n’est intrinsèquement pas à l’abri. En tout cas, tout malware pourra exploiter les failles qui sont de toute façon inhérentes au fonctionnement d’un ordinateur. Le seul bémol à ce constat est la nécessité d’introduire un malware dans l’ordinateur ciblé, ce qui est une véritable barrière d’entrée. Une fois celle-ci passée, c’est hélas trop tard.