Les chercheurs FireEye ont découvert un malware relativement complexe qui emprunte certains éléments de Stuxnet. Il vise lui aussi les systèmes industriels SCADA fournis par Siemens. Josh Homan, Sean McBride, et Rob Caldwell ont dénommé ce malware « Irongate » et pensent qu’il est encore au stade de POC (Proof of Concept) et non encore actif.
Irongate dispose de quelques fonctionnalités intéressantes. La première est qu’il est capable de lancer une attaque MiTM (man in the middle), dite de l’homme du milieu sur le processus d’entrée/sortie et le logiciel de l’opérateur. Il utilise également des librairies DLL malveillantes pour enregistrer le trafic, ce qui « pourrait permettre à un attaquant de modifier un processus à l’insu du process de l’opérateur », souligne les chercheurs. Reste que l’équipe est encore dans le doute sur la façon de procéder pour l’attaque MiTM, elle privilégie une activation manuelle.
De plus Irongate est capable d’éviter les protections de type sandbox et comprend du code anti-analyse pour éviter que les chercheurs puissent fouiller en profondeur le malware. Rusé, il vérifie si des environnements virtualisés de sandbox de type VMware et Cuckoo sont présents. Dans ce cas, le malware ne se télécharge pas.
Des façons de procéder qui rappellent inévitablement Stuxnet. Le virus créé probablement par les Etats-Unis et Israel pour saboter une centrifugeuse d’uranium en Iran, comprenait des modus operandi similaires avec techniques anti-sandbox, cibles équivalentes, etc. Mais il y a des différences entre les deux malwares. Ainsi, Stuxnet vérifiait la présence d’anti-virus, Irongate détecte des environnements d’observation et d’exécution contrôlée de logiciels malveillants.
Il reste des zones d’incertitude. FireEye a été incapable de relier Irongate avec une campagne de cybersécurité ou un groupe de cybercriminels. Ce qui fait dire aux chercheurs qu’Irongate en est au stade de prototype. Il faut espérer qu’ils aient raison.
A lire aussi :
Sécuriser les Scada : « ce sera cher et difficile », dit Kaspersky
Scada : des hackers manipulent le retraitement des eaux
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…