La société de cybersécurité Dragos a signalé un logiciel malveillant capable d’attaquer les systèmes de contrôle industriel (ICS), les incitant à adopter un comportement malveillant comme éteindre le chauffage et l’eau chaude en plein hiver. TechCrunch C’est exactement ce qu’a fait le malware baptisé FrostyGoop en janvier dernier à Lviv, en Ukraine, lorsque les résidents de plus de 600 immeubles d’habitation ont perdu leur chauffage pendant deux jours en raison de températures glaciales.
Dragos affirme que FrostyGoop n’est que le neuvième malware connu conçu pour cibler les contrôleurs industriels. C’est également le premier à cibler spécifiquement Modbus, un protocole de communication largement déployé inventé en 1979. Modbus est fréquemment utilisé dans des environnements industriels comme celui d’Ukraine attaqué par FrostyGoop en janvier.
Le Centre de situation de cybersécurité ukrainien (CSSC), l’agence gouvernementale chargée de la sécurité numérique, a partagé des informations sur l’attaque avec Dragos après avoir découvert le malware en avril de cette année, plusieurs mois après l’attaque. Le code malveillant, écrit en Golang (le langage de programmation Go conçu par Google), interagit directement avec les systèmes de contrôle industriels via un port Internet ouvert (502).
Les attaquants ont probablement eu accès au réseau industriel de Lviv en avril 2023. Dragos affirme qu’ils y sont parvenus en « exploitant une vulnérabilité indéterminée dans un routeur Mikrotik orienté vers l’extérieur ». Ils ont ensuite installé un outil d’accès à distance qui a éliminé la nécessité d’installer le malware localement, ce qui lui a permis d’éviter d’être détecté.
Les pirates ont rétrogradé le micrologiciel du contrôleur vers une version dépourvue de capacités de surveillance, ce qui a permis de brouiller les pistes. Au lieu d’essayer de mettre hors service les systèmes, les pirates ont fait en sorte que les contrôleurs signalent des mesures inexactes, ce qui a entraîné une perte de chaleur au milieu d’un gel intense.
Dragos a adopté une politique de neutralité en matière de cyberattaques depuis longtemps, préférant se concentrer sur l’éducation sans désigner de coupables. Cependant, l’entreprise a noté que les adversaires ont ouvert des connexions sécurisées (en utilisant le protocole de tunneling de couche 2) vers des adresses IP basées à Moscou.
« Je pense qu’il s’agit ici d’un effort psychologique, facilité par des moyens cybernétiques alors que les moyens cinétiques n’étaient peut-être pas le meilleur choix », a déclaré le chercheur de Dragos, Mark « Magpie » Graham. TechCrunchLviv se trouve dans la partie occidentale de l’Ukraine, ce qui serait beaucoup plus difficile à atteindre pour la Russie que les villes de l’est.
Dragos prévient que, compte tenu de l’omniprésence du protocole Modbus dans les environnements industriels, FrostyGoop pourrait être utilisé pour perturber des systèmes similaires dans le monde entier. L’entreprise de sécurité recommande une surveillance continue, notant que FrostyGoop a échappé à la détection de virus, soulignant la nécessité d’une surveillance du réseau pour signaler les menaces futures avant qu’elles ne frappent. Plus précisément, Dragos conseille aux opérateurs ICS d’utiliser le SANS 5 Critical Controls for World-Class OT Cybersecurity, un cadre de sécurité pour les environnements opérationnels.