Archives par mot-clé : Black Energy

backdoor, Cyber-attaque, Cybersécurité, Leak, Piratage, Virus

Ukraine: Campagne de spear-phishing BlackEnergy

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a détecté des signes d’attaques jusque-là inconnues lancées par le groupe russophone APT BlackEnergy. Un document de spear-phishing découvert par les experts de la société mentionne le parti nationaliste ukrainien d’extrême droite « Secteur droit » et paraît avoir été utilisé dans une attaque contre une chaîne de télévision très regardée en Ukraine.

BlackEnergy est une menace extrêmement dynamique et les récentes attaques en Ukraine indiquent qu’elle a pour principal objectif des actions destructrices, en plus de l’infection d’installations de contrôle industriel et du cyberespionnage. Utilisant au départ des logiciels d’attaques DDoS, BlackEnergy s’est développé pour devenir un vaste arsenal d’outils. Ceux-ci ont été employés pour diverses activités de type APT (menaces persistantes avancées), notamment des opérations géopolitiques telles qu’une vague d’attaques sur plusieurs secteurs critiques en Ukraine à la fin de 2015.

Bien que démasqué à de multiples reprises, le groupe BlackEnergy poursuit ses activités et représente un danger majeur.

Depuis la mi-2015, le groupe APT BlackEnergy utilise activement des e-mails de spear-phishing contenant des documents Excel malveillants, avec des macros destinées à infecter les ordinateurs sur un réseau ciblé. Cependant, en janvier de cette année, les chercheurs de Kaspersky Lab ont découvert un nouveau document malveillant qui infecte le système avec un cheval de Troie BlackEnergy. A la différence des documents Excel employés dans les attaques précédentes, il s’agit cette fois d’un document Microsoft Word.

À l’ouverture du document, l’utilisateur voit s’afficher une boîte de dialogue recommandant d’activer les macros pour pouvoir visualiser le contenu. L’activation des macros déclenche en fait une infection par le malware BlackEnergy.

Une fois activé sur l’ordinateur d’une victime, le malware envoie des informations de base sur la machine infectée à son serveur de commande et de contrôle (C&C). L’une des informations transmises par le programme malveillant est une suite de caractères qui semble identifier la victime. Le document analysé par les chercheurs de Kaspersky Lab contenait l’identifiant « 301018stb », dans lequel « stb » pourrait faire référence à la chaîne de télévision ukrainienne STB. Cette dernière avait précédemment été citée parmi les victimes des attaques BlackEnergy Wiper en octobre 2015.

À la suite de l’infection, des modules malveillants supplémentaires peuvent être téléchargés. Leurs fonctions peuvent varier selon la version du cheval de Troie, allant du cyberespionnage à l’effacement de données.

« Par le passé, nous avons vu le groupe BlackEnergy cibler des entités en Ukraine par le biais de documents Excel et PowerPoint. L’utilisation de documents Word était également attendue et ne fait que confirmer nos soupçons. D’une manière générale, nous observons l’utilisation croissante de documents Word comportant des macros dans le cadre d’attaques APT. Par exemple, nous avons récemment constaté l’emploi par le groupe APT Turla de documents avec des macros pour le lancement d’un type d’attaque similaire. Cela nous amène à penser que bon nombre de ces attaques sont couronnées de succès, ce qui explique leur recrudescence », commente Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Scada, Social engineering

Piratage : Coupure de courant en Ukraine à la suite d’un acte 2.0 contre une centrale

Coupures de courant en Ukraine à la suite de l’attaque informatique à l’encontre d’une centrale électronique.

Les professionnels de la sécurité des systèmes d’information alertent depuis quelques années sur les vulnérabilités, les failles et les défauts de sécurisation dans les systèmes industriels. L’attaque Stuxnet en 2010 a non seulement démontré que ce genre d’attaque pouvait endommager un système SCADA mais a aussi généralisé l’outillage et le mode opératoire, pour être exploitable par des non experts.

Le 23 décembre 2015, une variante du logiciel malveillant Black Energy a paralysé plusieurs centrales électriques Ukrainiennes, causant une coupure électrique dans une des régions du pays. Avec cette attaque et 5 ans après Stuxnet, on voit bien que la menace ciblant les systèmes industriels SCADA est plus que jamais présente et constitue un risque réel pour les infrastructures vitales d’un pays.

Conçu au départ en 2007 comme Cheval de Troie pour mener des attaques en Déni de Service Distribués (DDOS), BlackEnergy a mué au fil du temps en un outil modulaire et sophistiqué, capable de passer inaperçu et conçu comme une boite à outil pour contourner les antivirus, mener des campagnes de fraude sur les banques en ligne ou des attaques ciblées.

La Loi de Programmation Militaire aborde ces aspects de protection contre les cybermenaces et liste les mesures de sécurité à mettre en œuvre en vue de protéger les infrastructures vitales. Afin de se préparer au mieux contre des attaques visant des OIV (Opérateur d’Importance Vitale), il faut effectivement mettre en place des mécanismes de protection et de cloisonnement entre les réseaux SCADA et les autres réseaux ; mais encore faut-il avoir la visibilité et l’intelligence pour détecter les intrusions au niveau applicatif.

La solution pourrait venir de l’Analyse Comportementale ou des “Analytics” qui consistent à agréger, corréler et interpréter des informations issues des infrastructures réseaux et applicatives. La société F5 Network propose ce type d’outil, capable de détecter différent types de malwares qu’ils soient génériques ou ciblés. En novembre dernier, le HackFest Canada 2015, proposait un concours de hacking éthique sur le thème, entre autres, du piratage d’infrastructures SCADA.

En France, la licence CDAISI (Licence Professionnelle Cyber défense, anti-intrusion des systèmes d’information) de Maubeuge apprend aux informaticiens (à partir de bac +2) à réfléchir comme un pirate informatique afin de mieux les contrer propose des cours sur ce thème.

Dans le cas des centrales électriques Ukrainienne, le cheval de Troie BlackEnergy a ciblé et exploité des postes de travail des opérateurs, donc « légitimes », en utilisant des vulnérabilités connues comme vecteurs d’attaques. Une fois installé sur le poste de l’opérateur, Black Energy a eu le champ libre pour intercepter les crédentiels (couples nom d’utilisateurs / mots de passes) utilisés par les opérateurs en charge des systèmes SCADA. Rien de magique. Un pirate malin, un courriel bien ciblé, des ordinateurs nons sécurisés, ni mi à jour et le tour était joué. la cible est moins conventionnelle.

Face à ce mode opératoire, la solution est de mettre en place des technologies de protection contre la fraude qui permettent d’avoir une visibilité sur les activités frauduleuses initiées depuis le poste de l’opérateur d’un système SCADA. L’objectif étant de détecter les comportements identifiables d’un malware et de brouiller, par exemple, les crédentiels collectés lors de l’utilisation d’un navigateur Web, comme le fait BlackEnergy.