En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Le piratage de fichiers ICS : une attaque de plus en plus courante

Par Nadav Erez, Responsable de l’équipe de recherches de Claroty

Publication: Décembre 2020

Partagez sur
 
Les fichiers de projet ICS sont un des composants essentiels de tout système de contrôle industriel...
 

Généré par les logiciels d’ingénierie ICS, ils contiennent toutes les informations sauvegardées par ces logiciels, et fournissent toutes les données et instructions nécessaires au fonctionnement de chaque machine d’un réseau industriel (OT/technologie opérationnelle).

Les ingénieurs s’en servent pour veiller au bon déroulement des opérations. Alors que les équipes de sécurité peuvent les utiliser pour avoir une idée précise des machines qui s’exécutent sur le système et recueillir d’autres données critiques, comme l’endroit où elles se trouvent et ce qu’elles sont censées accomplir.

Un manque de visibilité sur les éléments s’exécutant sur le réseau et sur leur fonctionnement normal présente un risque de sécurité majeur.

Pour les cybercriminels, c’est en effet la possibilité d’infiltrer le réseau sans que l’équipe de sécurité ne s’en aperçoive. De par leurs vulnérabilités intrinsèques, les fichiers de projet ICS permettent en outre aux cybercriminels de modifier le mode de fonctionnement de machines aux activités potentiellement sensibles et de causer des dommages considérables, notamment en dupant les ingénieurs via des techniques de phishing.

Qu’est-ce qu’un fichier de projet ICS ?

Un fichier de projet ICS se compose de différents fichiers contenant tout un ensemble de données nécessaires à la réalisation d’un projet enregistré. Au sein d’une centrale électrique par exemple, ces fichiers contiendront de nombreuses informations sur les différents actifs en place ou sur le système de contrôle interne, etc.

Les fichiers de projet renferment généralement des informations sensibles : Au niveau supérieur se trouve la cartographie du réseau, avec des informations sur les ressources présentes. Il peut s’agir d’un réseau PROFIBUS, c’est-à-dire d’un système de communication numérique standardisé et ouvert, utilisé dans l’automatisation de la fabrication, ainsi que de toutes les stations qui y sont connectées.

Le fichier de projet doit par ailleurs détailler chaque ressource individuelle du réseau. Par exemple, l’adresse IP et le numéro de série des appareils, de même que des données sur la localisation de chaque appareil et leur usage, y compris des détails sur les modules et leurs numéros d’ordre.

Qu’est-ce qu’un fichier ICS ?

Il existe toutes sortes de fichiers de projet ICS. Les plus simples se présentent sous forme de fichiers texte, comme des documents Excel contenant des informations sur la ressource (adresse IP, numéro de modèle, version de l’application exécutée, etc.). De nombreux éditeurs de logiciels ICS utilisent toutefois des fichiers de projet dans un format binaire propriétaire. La récupération de leurs informations s’effectue via un logiciel spécialisé, voire par rétro-ingénierie.

Les fichiers de projet peuvent aussi se présenter sous forme de répertoires, avec des sous-répertoires contenant différents types de fichiers. Dans ce cas, le problème n’est pas simplement de pouvoir lire le fichier, mais déjà de le localiser. Plus facile à dire qu’à faire quand on sait que ces répertoires sont susceptibles d’héberger des milliers de fichiers. D’autant que, si la plupart de ces répertoires sont stockés dans des fichiers .zip, certains sont encore au format .cab, depuis longtemps remplacé par le format .zip. Il faut donc trouver le bon script pour ouvrir le fichier.

Les fichiers de projet sont utiles pour les équipes sécurité… mais aussi pour les attaquants

Pour comprendre la cartographie de leur réseau OT, les équipes de sécurité peuvent capturer le trafic qui y transite et bâtir une topographie à partir de ces informations. Cette opération demande cependant beaucoup de temps et d’efforts. En revanche, si elles parviennent à extraire et à lire les fichiers de projet accessibles sur les serveurs des ingénieurs, elles obtiendront plus rapidement une vue complète du réseau, des éléments qui s’y exécutent, etc.

En comparant la carte créée par le fichier de projet à ce qui se passe réellement sur le réseau, l’équipe de sécurité peut détecter toute activité suspecte, comme la connexion de nouveaux appareils.

Les fichiers de projet offrent également une vision claire du rôle joué par chaque ressource. En cas d’événement inattendu, l’équipe de sécurité peut identifier la cause première du problème et réinitialiser les machines concernées. Un inventaire détaillé de tous les appareils et de ce sur quoi ils fonctionnent lui permet en outre d’évaluer leur niveau de sécurité. Grâce à ces informations, elle est en mesure de repérer les vulnérabilités et de déterminer où des mises à jour et des correctifs sont nécessaires.

Pour atteindre ces objectifs, les équipes de sécurité ont besoin d’une solution capable d’extraire et d’analyser toutes les données pertinentes dans un format facilement accessible et compréhensible.

L’intérêt pour les attaquants : Si un cybercriminel réussit à infiltrer un réseau OT, il peut utiliser tous les fichiers de projet trouvés pour savoir quelles machines sont connectées au réseau et leur fonction. Ces informations l’aident à cibler précisément les ressources qui causeront le plus de perturbations en cas de compromission.

Les fichiers de projet eux-mêmes comportent d’importantes vulnérabilités exploitables par les cybercriminels dans le cadre de leurs attaques. Par exemple, comme nous l’avons vu, ils sont souvent zippés, en particulier lorsqu’ils doivent être transférés d’un système à un autre. La vulnérabilité « Zip Slip » permet aux attaquants de modifier les chemins dans un fichier .zip de telle manière qu’une fois décompressé, les fichiers qu’il contient soient téléchargés vers un emplacement différent de celui du fichier cible. Autrement dit, l’attaquant peut écrire des fichiers à n’importe quel endroit du réseau sur lequel le fichier est extrait. Il lui est ainsi possible de prendre le contrôle d’un ordinateur, notamment en remplaçant un programme dans le répertoire de démarrage.

De nombreux types de fichiers de projet reposent sur des fichiers binaires vulnérables, car créés à partir de code datant généralement de plusieurs années. Ils ont souvent été écrits à une époque où les programmeurs ignoraient comment protéger leur code, et n’ont sans doute pas été corrigés depuis. Véritable problème pour leurs propriétaires, les vulnérabilités des formats binaires continuent à être régulièrement publiées.

Le déroulement d’une attaque

Un cybercriminel peut s’attaquer à un réseau OT en téléchargeant un fichier DLL (Dynamic Link Library), lequel contient des instructions utilisées par d’autres programmes pour exécuter des tâches spécifiques.

À cette fin, il devra tout d’abord créer ou cloner un fichier de projet présentant une vulnérabilité, par exemple une instruction d’importation d’un fichier depuis un emplacement donné au démarrage du projet. Il modifiera ensuite le code de sorte que le fichier importé comprenne une DLL malveillante chargée d’effectuer une tâche spécifique, telle que la mise hors tension du système.

Le fichier sera joint à un e-mail de phishing envoyé à un ingénieur afin de l’inciter à l’ouvrir. Pour plus de crédibilité, le cybercriminel choisira probablement un format de fichier convivial connu de l’ingénieur et lisible via un logiciel ICS. Il aura donc plus de chances de résister à un examen minutieux que, par exemple, un fichier .doc, et éveillera davantage la curiosité de l’ingénieur. L’avantage est que ce dernier ouvrira le fichier sur un ordinateur équipé d’un logiciel d’ingénierie et très certainement connecté au réseau OT. S’il s’agissait d’un simple fichier .doc, l’ingénieur pourrait l’ouvrir sur son ordinateur personnel, ce qui empêcherait le cybercriminel de poursuivre son attaque.

Les forums d’assistance spécialisés constituent un autre moyen pour les cybercriminels d’amener les ingénieurs à ouvrir des fichiers de projet malveillants. Il leur suffit pour cela d’envoyer un message simple indiquant qu’ils ont besoin d’aide, car ils n’arrivent pas à ouvrir un fichier de projet et ne disposent pas du logiciel nécessaire à son extraction. Pensant aider un homologue, certains ingénieurs téléchargeront le fichier et le convertiront pour lui. Il s’agira bien entendu d’un fichier malveillant. Dès son ouverture, la machine de l’ingénieur exécutera les fonctions spécifiées dans le code.

Motifs des attaques

L’arrêt total de l’activité et son rétablissement en échange d’une rançon figurent parmi les motifs de ces attaques, mais le plus probable reste le sabotage. Les attaques contre les réseaux OT ciblent généralement les infrastructures nationales critiques et les industries indispensables à l’économie des États-nations, l’objectif étant de causer autant de perturbations que possible. L’un des cas les plus connus est celui des attaques de 2015 et 2016 contre le secteur de l’énergie ukrainien, qui ont laissé des milliers d’habitants sans électricité pendant plusieurs heures.

Comment s’en protéger ?

Pour prévenir le téléchargement de fichiers de projet malveillants sur le réseau, les entreprises ont tout intérêt à déployer une solution robuste de protection des terminaux et de sécurité de la messagerie électronique afin de bloquer les e-mails de phishing envoyés aux ingénieurs et de limiter les éléments que ces derniers sont autorisés à télécharger sur le réseau OT. Cela évitera d’emblée à une grande majorité de ces fichiers d’infecter le système.

Malgré ces mesures, il existe toujours une possibilité qu’un fichier malveillant s’introduise dans le réseau. C’est pourquoi les équipes de sécurité ont besoin de visibilité sur tous les fichiers de projet présents sur le réseau OT, quel que soit leur format, et de savoir à quoi ils ressemblent normalement. De plus, elles doivent être à même de surveiller le trafic réseau afin de déceler les comportements anormaux symptomatiques du piratage potentiel d’un fichier de projet. Cette surveillance doit par ailleurs inclure l’examen de toutes les interactions entre les réseaux IT et OT de manière à identifier chaque fichier déplacé de l’un à l’autre, opération qui représente un risque pour la sécurité.

Sachant qu’un réseau OT moyen compte plusieurs milliers de fichiers de projet, il est impossible de réaliser cette tâche manuellement. D’où la nécessité de solutions automatisées, capables d’effectuer cette surveillance et d’alerter l’équipe de sécurité sur tous les événements suspects.

Les fichiers de projet sont une composante essentielle de tout réseau OT, mais aussi l’une des plus vulnérables. Une bonne connaissance de leur fonctionnement et de leurs risques inhérents aide les équipes de sécurité à prendre des mesures appropriées pour s’assurer qu’ils profitent moins aux cybercriminels qu’aux ingénieurs.

http://www.claroty.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: