Les organisations d’infrastructures critiques aux États-Unis sont ciblées par des logiciels malveillants personnalisés, conçus spécifiquement pour le matériel qu’ils utilisent, avertissent les agences de sécurité et d’application de la loi du pays.
Le nouvel avertissement a été publié conjointement par le Département de l’énergie (DOE), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI).
Dans ce document, les agences mettent en garde contre les acteurs menaçants qui placent plusieurs systèmes de contrôle industriel (ICS) et dispositifs de contrôle de supervision et d’acquisition de données (SCADA) dans leur ligne de mire – à savoir les contrôleurs logiques programmables (PLC) de Schneider Electric, les PLC OMRON Sysmac NEX et Open Platform. Serveurs d’architecture unifiée des communications (OPC UA).
Plus précisément – les automates Schneider Electric MODICON et MODICON Nano, dont TM251, TM241, M258, M238, LMC058 et LMC078 ; et les automates OMRON Sysmac NJ et NX, y compris NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK et R88D-1SN10F-ECT, sont ciblés.
Apparemment, l’un des acteurs de la menace s’appelle CHERNOVITE, et celui-ci essaie de déployer un malware appelé PIPEDREAM. Les chercheurs en sécurité de la société de cybersécurité Dragos suivent depuis un certain temps déjà le malware spécifique à ICS et ont découvert qu’il ciblait initialement les contrôleurs Schneider Electric et Omron. En tirant parti de la fonctionnalité native des terminaux dans les opérations, le malware est un peu plus difficile à repérer.
Le PDG de Dragos, Robert Lee, pense que CHERNOVITE est un attaquant parrainé par l’État.
Une société de cybersécurité distincte, Mandiant, a suivi un autre logiciel malveillant, appelé INCONTROLLER. Celui-ci cible également les outils de Schneider Electric et est également créé et exploité par un attaquant parrainé par l’État.
Bien qu’aucun pays n’ait été nommé, la publication rappelle que les responsables ukrainiens ont récemment annoncé l’arrêt d’une attaque contre une installation énergétique.
Parler à L’enregistrementdirecteur de la technologie de la société de logiciels de cybersécurité ICS aDolus Technology, a déclaré que les automates MODICON de Schneider Electric et les serveurs OPC Unified Architecture (OPC UA) sont probablement ciblés car ils sont extrêmement courants dans l’industrie.
Les failles potentielles qui pourraient être exploitées pourraient fournir aux attaquants des privilèges élevés, un mouvement latéral dans un environnement OT et permettre la perturbation des appareils ou des fonctions critiques, a-t-il ajouté.
Via : Le dossier