Nous suivre Industrie Techno

Pourquoi le ransomware Snake marque un tournant dans les cyberattaques industrielles

Kevin Poireault
Soyez le premier à réagir

Soyez le premier à réagir

Pourquoi le ransomware Snake marque un tournant dans les cyberattaques industrielles

© serpeblu/Shutterstock

Snake est un ransomware (rançongiciel) d’un nouveau genre découvert début janvier, capable de neutraliser des logiciels industriels tels que des interfaces hommes-machines ou des historiques. Si sa paternité et ses première utilisations restent à éclaircir, l’existence de Snake laisse présager d’une intensification des cyberattaques industrielles. Décryptage des éléments connus à ce jour.

En ce début d’année 2020, la communauté cyber est en émoi : un rançongiciel (ransomware) d’un genre nouveau est dans la nature, spécialement taillé pour s’attaquer aux réseaux informatiques industriels (OT). Baptisé Snake par l’éditeur de logiciels de cyberprotecion Sentinel One, Ekans par son homologue Dragos et Snakehose par FireEye, ce ransomware a été découvert par le groupe de chercheurs en sécurité Malware Hunter Team et rendu public le 7 janvier sur Twitter par un de ses membres, Vitali Kremez – par ailleurs employé de Sentinel One.

« Les premiers échantillons du code de Snakehose envoyés sur des répertoires disponibles pour la communauté de chercheurs, comme VirusTotal, datent des 26-27 décembre », ajoute David Grout, chercheur français en sécurité chez FireEye interrogé par Industrie & Technologies.

Selon les données analysées par la firme de cybersécurité, Snake serait capable d’attaquer plus d’une centaine de services, dont environ 10% ne sont utilisés que dans les réseaux OT. Dragos, de son côté, en comptait 64 au total, dans un article de blog paru le 3 février dernier. Attention, précise David Grout, ce ne sont pas les protocoles qui sont visés mais bien les services eux-mêmes, comme c’est généralement le cas les ransomware.

Proficy, Fanuc, Honeywell et ThingWorx parmi les services ciblés

« A ma connaissance, Snakehose n’est pas spécialisé dans des protocoles purement industriels, comme Modbus ou DNP3, mais neutralise des process ou des services de vendeurs du monde industriel, comme les interfaces hommes-machines, les logiciels de gestion de logs et de backup (historians). Comme pour les ransomwares IT : ces derniers n’attaquent pas la trame TCP/IP mais plutôt des fichiers exécutifs comme Chrome.exe ou encore McAfee.exe. »

Selon Dragos, les services ciblés par Snake compteraient notamment l’historian Proficy et différents logiciels d’automatisation vendus sous la marque Fanuc de de General Electric (GE), l’interface homme-machine HMIWeb de Honeywell ou encore la plate-forme d’IoT industriel ThingWorx Industrial Connectivity Suite.

Comme les ransomwares IT, Snake s’infiltre dans les systèmes via Windows

Ecrit en Golang (ou Go-language), un langage de programmation open source, Snake s’infiltre, assez classiquement, via le système d’exploitation Windows : après avoir vérifié que le terminal n’était pas déjà infecté, il corrompt la Windows management instrumentation (WMI), le système de gestion de l’OS de Microsoft, puis neutralise Shadow Volume Copies, une application incluse dans Windows pour effectuer des sauvegardes automatiques des fichiers, même lorsqu’ils sont en cours d’utilisation.

C’est à ce moment-là que Snake peut arrêter de force les services industriels ciblés – « Un peu comme lorsque vous appuyez sur Ctrl-Alt-Suppr sur votre clavier pour fermer les applications en cours », illustre David Grout. En parallèle, Snake commence la procédure de chiffrement des données.

La compagnie pétrolière nationale de Bahrein potentielle victime

En analysant son modus operandi, Dragos a conclu que Snake avaient repris une partie du code de MegaCortex, un ransomware détecté à la mi-2019 capable de neutraliser plus de 1 000 services IT mais qui n’a, semble-t-il, pas encore fait de dégât. Néanmoins, aucune preuve que les pirates derrière Snake soient les mêmes que ceux à l’origine de MegaCortex, estime Vitali Kremez. Ce que nous confirme David Grout. A ce jour, l’attribution de Snake à un groupe cybermalveillant demeure incertaine : la firme israélienne de cybersécurité Otorio évoque un lien avec l’Iran, ce que réfute Dragos.

Quant aux dégâts présumés de Snake, là encore la communauté cyber est divisée. Sentinel One affirme qu’il a déjà été utilisé pour infiltrer les réseaux OT de la compagnie pétrolière nationale de Bahrein (Bapco). « Au vu de ce que nous avons pu analyser, cela ne semble pas être le même code », rétorque David Grout, sans en dire plus.

Maîtrise des process de l'informatique OT

« Snakehose n’est pas tout à fait le tout premier ransomware à viser les réseaux OT, poursuit le chercheur français en sécurité. Il y a eu LockerGoga en 2019 [qui a notamment infecté la société française de conseil en ingénierie Altran en janvier 2019 et le producteur norvégien d’aluminium Norsk Hydro en mars 2019, ndlr]. Mais la liste des services qu’est capable de "tuer" Snakehose est bien plus importante ! »

La découverte de ce ransomware façonné pour l’OT n’impressionne pas le chercheur par les compétences techniques qu’il demande aux pirates qui l’ont programmé – « C’est beaucoup plus facile de coder Snakehose que le malware Triton, qui requérait de se procurer les équipements et de les attaquer dans un véritable laboratoire de test », indique-t-il. Néanmoins, elle témoigne de ce que les pirates « ont agrandi leurs connaissances pour maîtriser aujourd’hui des process de l’informatique OT », remarque Christophe Lambert, directeur technique grands comptes pour l'Europe, l'Afrique et le Moyen Orient du fournisseur de solutions pour la gestion de données Cohesity.

Des industriels susceptibles de payer rapidement pour reprendre la production

Pour David Grout, l’apparition de tels ransomwares augure d’une nouvelle ère dans laquelle cyberattaquer des infrastructures industrielles va devenir monnaie courante car lucratif : « L’arrivée de ransomware comme Snakehose reflète l’appât du gain de la part des groupes cybermalveillants, qui se sont rendus compte que les victimes industrielles avaient tendance à payer plus rapidement que d’autres (collectivités territoriales, institutions financières…) pour repartir immédiatement en production. »

De quoi alerter, une fois de plus, les responsables de la sécurité numérique  des groupes industriels, « encore parents pauvres de la cyber », insiste Christophe Lambert.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Cybersécurité : Cisco découvre une faille qui permet de contrôler à distance une voiture connectée

Cybersécurité : Cisco découvre une faille qui permet de contrôler à distance une voiture connectée

Une équipe de chercheurs en cybersécurité du géant Cisco, baptisée CX APT, vient de détecter une faille dans[…]

02/06/2020 | LogicielsServeurs
Pour bien commencer la semaine, le vol historique de SpaceX vers la station spatiale internationale

Pour bien commencer la semaine, le vol historique de SpaceX vers la station spatiale internationale

Tests, éolienne offshore, cybersécurité… les meilleures innovations de la semaine

Tests, éolienne offshore, cybersécurité… les meilleures innovations de la semaine

Que sait-on de StopCovid, l'application controversée qui entre en débat au Parlement ?

Que sait-on de StopCovid, l'application controversée qui entre en débat au Parlement ?

Plus d'articles