Les 6 plus grandes cyberattaques contre l’industrie énergétique

Épargnés jusqu’en 2010, les systèmes industriels de l’énergie ne sont plus à l’abri de tentatives d’infiltration à l’image de Stuxnet qui a fait de ces systèmes une cible de choix pour les hackers. Les entreprises et infrastructures de ce secteur, répertoriées OIV (Opérateurs d’Importance Vitale) pour la plupart, fournissent des services et des biens indispensables au bon fonctionnement de la Nation. Ces industries sensibles se doivent d’avoir des plans sécuritaires infaillibles. Même si le risque 0 n’existe pas et que de nombreuses vulnérabilités persistent, certaines préconisations permettent d’éviter une cyberattaque ou réduire son impact. Cybelius revient sur les 6 plus grandes attaques menées contre des systèmes énergétiques à travers le monde et propose son expertise quant aux mesures à mettre en œuvre.

Quelques chiffres clés

  • 2010

    Stuxnet créé une onde de choc au sein de l’industrie énergétique mettant en avant des vulnérabilités encore inconnues. Depuis, les attaques ne cessent d’augmenter.

  • 2014 à 2015

    Les vulnérabilités des systèmes industriels ont augmenté de 380% (source Symantec-2016).

  • 2015

    135 vulnérabilités industrielles sont découvertes dans le monde.

  • 2014

    Sur 245 attaques reportées sur des systèmes industriels aux USA, plus de la moitié était ciblée et visait le secteur de l’énergie.

  • 3 types d’attaques récurrentes

    Sabotage, espionnage, vol de données.

Cyberattaques : Ce qu’il faut retenir

#1 : SLAMMER

  • DATE

    Le virus est détecté en 2003.

  • CONTEXTE

    Slammer est un ver qui s’est propagé sur Internet en exploitant une faille dans les serveurs SQL Microsoft. En quelques minutes, il aurait contaminé 75000 serveurs. Slammer a entre autres attaqué le poste de contrôle ainsi que le système de surveillance de sécurité (safety parameter display system – SPDS) de la centrale nucléaire Davis-Besse aux USA, qui s’est arrêtée plusieurs heures. Ce système donnait l’alerte en cas de fusion du réacteur ainsi que des informations en temps réel sur l’état physique des équipements.

  • METHODE

    Le virus a tout d’abord infecté le réseau privé d’un prestataire de service avant d’emprunter la ligne haut débit qui reliait directement ce fournisseur au réseau de la centrale nucléaire. Cette ligne contournait le pare-feu de la centrale, qui, lui, bloquait pourtant correctement les ports utilisés par Slammer pour se répliquer.

    Une fois sur le réseau, la propagation s’est faite via les failles de sécurité sur les serveurs Microsoft SQL Server 2000 (le patch était pourtant disponible chez l’éditeur depuis 6 mois). Le ver cherchait d’autres serveurs du même type en générant des adresses IP de manière aléatoire, consommant la bande passante du réseau jusqu’à bloquer le système de sureté et le poste de contrôle. Ce virus a surpris par sa simplicité et sa petite taille (376 octets).

  • CONSEQUENCES

    Slammer a entrainé un important déni de service : 6 heures d’indisponibilité de deux systèmes de contrôle de la centrale (l’un ayant pour rôle d’afficher l’état des systèmes critiques) et des systèmes de sûreté inopérants.

  • MOTIVATION

    La centrale n’a pas été visée spécifiquement mais infectée au hasard par Slammer. Elle possédait une connexion non sécurisée vers un réseau tiers alors que le reste de son réseau, protégé par un pare-feu, aurait pu stopper le virus.

  • PRECONISATIONS

    Slammer démontre que les infrastructures critiques doivent sécuriser leurs systèmes industriels. La centrale aurait pu éviter ce déni de service en cartographiant son SI et en appliquant une politique de mise à jour des équipements et logiciels de ses systèmes d’information. Cela aurait permis d’empêcher le ver de s’introduire sur les serveurs et de saturer le réseau. De plus, un point essentiel réside dans la sécurisation des échanges entre le SI industriel et les réseaux tiers, notamment de prestataires qui peuvent intervenir sur les équipements. La sécurisation de ces systèmes doit impliquer une identification et une authentification des connexions distantes ainsi qu’un chiffrage des données. Enfin, le firewall doit pleinement assurer son rôle. Pour cela, une gestion des règles par principe de white-list assure de ne faire passer que les communications légitimes (notre solution CyFENCE propose de sécuriser l’ensemble des connexions tiers sur le système à protéger et assure une sécurisation sous le principe de liste blanche des échanges).

#2 : STUXNET

  • DATE

    Signalé pour la première fois en 2009, Stuxnet a secoué toute l’industrie énergétique en frappant en 2010. Ce virus reste le plus complexe et sophistiqué des programmes malveillants.

  • CONTEXTE

    L’attaque a été lancée pour saboter les centrifugeuses de l’usine d’enrichissement d’uranium de Natanz, en Iran. Via une clé USB infectée et non contrôlée, le virus s’est introduit dans le réseau opérationnel. C’est la première attaque ciblée qui a nécessité une préparation en amont.

  • METHODE

    Au préalable, les hackers ont espionné plusieurs installations nucléaires iraniennes et réalisé d’importants travaux de recherche et de développement.

    Dans un second temps, pour approcher sa cible, Stuxnet a exploité pas moins de quatre vulnérabilités 0day (aujourd’hui toutes corrigées par Microsoft) ciblant différentes versions de Windows, ainsi que la célèbre vulnérabilité MS08-067 (permettant l’exécution de code à distance via une requête RPC) corrigée il y a maintenant plusieurs années. Stuxnet a été capable d’attaquer des systèmes complexes des logiciels SCADA WinCC/PCS 7 de Siemens (logiciels destinés au contrôle et à la gestion des automatismes, en l’occurrence la vitesse de rotations des centrifugeuses).

    Cela lui a permis d’exécuter du code arbitraire avec les droits administrateurs et installer 2 outils de dissimulation aussi appelés rootkits. Stuxnet a enregistré, une fois par mois, les valeurs des capteurs du système de protection de la centrale en cascade par période de 21 secondes. Puis, lors de l’exécution de l’attaque, Stuxnet rejouait ces 21 secondes en boucle. Ainsi, pour les opérateurs de la salle de contrôle tout était normal mais pendant ce temps Stuxnet exécutait son travail malveillant.

    La virus a pris le contrôle des automates (contrôle des valves pour augmenter la pression du gaz injecté et compromettre les centrifugeuses et des ordinateurs régulant la vitesse des centrifugeuses via les réseaux des sous-traitants). Informations peu courantes pour un virus : l’attaque a nécessité des connaissances en procédés industriels, en failles Windows et différents langages de programmation (C et C++).

  • CONSEQUENCES

    Stuxnet est la première attaque qui a entravé le fonctionnement d’une infrastructure et endommagé des installations industrielles.  On estime à plusieurs centaines le nombre de centrifugeuses détruites ou mise hors services grâce à ce procédé. La centrale a accumulé 1 an de retard dans son programme nucléaire. Le ver a également affecté 45 000 systèmes informatiques, dont 30 000 situés en Iran, y compris des PC appartenant à des employés de la centrale nucléaire de Bouchehr. Les 15 000 autres systèmes informatiques sont des ordinateurs et des centrales situés en Allemagne, en France, en Inde et en Indonésie, utilisateurs de technologies Siemens.

  • MOTIVATION

    Plusieurs enquêtes ont révélé que la création de Stuxnet a été mandatée par les USA, soutenus par Israël avec l’aide d’un complice interne pour espionnage étatique.

  • PRECONISATIONS

    Aucun axe de défense ne peut être négligé sur de tels systèmes industriels critiques. Il est suggéré de mettre en place un système de détection de cyberattaque qui assure un monitoring des échanges réseaux jusqu’au process. Il faut comparer les valeurs échangées entre les automates et la supervision et ainsi détecter la dérive du process et la compromission de l’outil de supervision. En outre, nous conseillons de mettre en œuvre une segmentation des réseaux, un codage des échanges sur le process industriel ainsi qu’un « patching » de l’ensemble des équipements et logiciels du SI industriel. De plus, nous préconisons de prendre en compte les bonnes pratiques et exigences de la cybersécurité dès la conception de l’infrastructure et notamment dans le choix des équipements et des logiciels pour que ne subsiste qu’un minimum de vulnérabilités.

#3 : SHAMOON

  • DATE

    Shamoon est détecté en Août 2012.

  • CONTEXTE

    Une quinzaine d’entreprises Saoudiennes, dont Saudi Amraco (plus grande compagnie pétrolière saoudienne) ont été victime de Shamoon. Pour la plupart d’entre elles des multinationales spécialisées dans l’exploitation ou la distribution d’hydrocarbures (pétrole ou gaz) ainsi que plusieurs agences gouvernementales. Saudi Amraco produit environ 2,26 millions de barils de pétrole par jour et exploite 20% des réserves mondiales. Ce virus a été armé pour dérober des données confidentielles, effacer les traces de son passage et détruire en profondeur les systèmes d’exploitation et les serveurs sur lesquels sont archivées les données des groupes visés.

  • METHODE

    Via une technique d’hameçonnage, un employé de la compagnie aurait cliqué sur un lien contenu dans un message SCAM, en français « arnaque ». Une fois introduit sur le réseau, le virus Shamoon (ou Disttrack) a exfiltré les informations logistiques et commerciales des PC et serveurs Windows puis a écrasé ces fichiers. Enfin le virus a réécrit les zones d’amorçages des disques durs (master boot records) supprimant ainsi leurs accès. Après l’infection, des modules appelés ‘wiper’ et ‘reporter’ sont entrés en action afin d’effacer toute trace laissée par les hackers.  C’est en particulier l’appellation du module ‘wiper’ qui a suscité l’inquiétude, car il semblait correspondre à la famille Stuxnet/Duqu/Flame de malwares sophistiqués.

  • CONSEQUENCES

    Pour l’entreprise Saudi Amraco, plusieurs fichiers ont été détruits ou supprimés sur 30 000 postes de travail et 2000 serveurs. L’activité a été impactée : gestion des commandes, des stocks, livraison, facturation… Les salariés ont dû revenir au fax. La production pétrolière ainsi que les opérations techniques chargées d’organiser et de distribuer le pétrole n’ont pas été touchées. Il a fallu 5 mois à l’entreprise pour retrouver une activité normale.

  • MOTIVATION

    Il semblerait que les pirates, un groupe d’activistes appelé « L’Epée tranchante de la justice » (The Cutting Sword of Justice) aient voulu saboter la compagnie avec la volonté d’interrompre une partie des activités industrielles de l’entreprise. Le groupe a menacé Saudi Amraco de diffuser les informations qu’il a pu collecter. Toutefois, le programme ne contenait aucune fonctionnalité conçue pour contrôler ou attaquer un système industriel même si les opérations de maintenance ou de production auraient pu être touchées. Les revendications semblent politiques.

  • PRECONISATIONS

    En premier lieu, pour éviter ce sabotage, il est essentiel de sensibiliser les employés de l’entreprise aux bonnes pratiques d’utilisation d’Internet. Dans le cas présent, l’erreur humaine est à l’origine de l’intrusion du virus. D’autre part, un Plan de Continuité d’Activité permet à l’entreprise de redémarrer son activité rapidement avec un minimum de pertes de données. Pour un PCA adapté aux exigences de l’entreprise, il est indispensable de prévoir une analyse de risques (découvrez note méthode d’analyse APERO qui fédère cybersécurité et sureté des installations). Une segmentation des réseaux limite la propagation d’une attaque. Enfin, la mise en place d’un système de détection d’intrusion (CyPRES) permet de détecter le comportement anormal du SI et notamment l’exfiltration des données.

#4 : ENERGETIC BEAR

  • DATE

    Le virus est lancé en 2014. Il s’agit d’un trojan d’accès distant.

  • CONTEXTE

    Plus de 1000 entreprises de l’énergie aux USA et en Europe (équipementiers, producteurs d’électricité, distributeurs d’électricité et de pétrole) ont été attaquées. Le virus a pris le contrôle des équipements industriels après avoir contaminé 3 fournisseurs de SCADA qui auraient ensuite propagé le virus via des mises à jour chez leurs clients.

  • METHODE

    Les hackers ont eu recours à 3 stratégies complémentaires pour s’infiltrer sur le système. Leur méthode d’attaque était centrée sur l’extraction et le téléchargement de données, l’installation de logiciels malveillants et l’exécution de fichiers sur des ordinateurs infectés. Ils ont eu recours également à d’autres outils pour collecter des mots de passe, captures d’écrans, etc :

    • Le spearfishing : de Février à Juin 2013, un emailing ciblé a été envoyé aux cadres et dirigeants de 7 entreprises du secteur de l’énergie avec en pièce jointe, un fichier PDF qui une fois ouvert, infectait l’ordinateur avec le logiciel malveillant. Environ 84 mails ont été envoyés d’un même compte Gmail ayant pour objet « le compte » ou « problème de livraison résolu ».
    • Le watering hole : des liens malveillants placés sur des sites Web fréquemment visités par des personnes travaillant dans le secteur de l’énergie. Une fois ouverts, les liens redirigeaient les utilisateurs vers un site apparemment légitime, mais en fait compromis, et provoquaient un téléchargement du virus vers la machine. Des balises HTML ont été insérées sur chaque site web. Par ailleurs, les hackers ont utilisé les kits d’exploitation hello et Lightsout qui fonctionnaient sur java et internet explorer et qui installaient des backdoors Oldrea ou Trojan.Karagany sur les ordinateurs piratés.
    • La compromission des mises à jour de logiciels SCADA chez 3 fournisseurs.
  • CONSEQUENCES

    Les hackers ont eu accès à des informations hautement sensibles (chiffres, protocoles etc). Aucune divulgation des éléments n’a été faite à ce jour.

  • MOTIVATION

    Les hackers baptisés dragonfly, groupe identifié d’origine russe, sévissent depuis la fin des années 2000. Ils sont spécialistes des attaques sur l’industrie, en particulier le secteur de l’énergie (gaz, pétrole, électricité, et équipementiers correspondants) et connus pour le vol de données et cyber espionnage.

  • PRECONISATIONS

    Préconisations récurrentes mais au combien importantes :

    La sensibilisation du personnel aux règles d’hygiène cyber et notamment l’ouverture de pièce jointe d’e-mail dont on ne connait pas l’émetteur.

    La mise en place de procédures de white listing des PC de supervision permettant d’exploiter uniquement les logiciels et services utiles à l’exploitation.

    Enfin, le test de mise à jour de logiciels SCADA avant le déploiement sur site permet de détecter les compromissions pouvant provenir de l’éditeur. Dans ce cadre, la mise en place d’une DMZ (Zone démilitarisée) avec un serveur de test des mises à jour est à préconiser. Dans ce serveur, une VM des postes critiques du système est reconstituée. De cette manière, il est possible de tester la mise à jour en VM avant de réellement la déployer sur le ou les postes concernés (cette solution est mise en œuvre dans notre système de sécurisation des échanges IT/OT : CyFENCE).

#5 : BLACK ENERGY

  • DATE

    Le malware Black Energy (cheval de troie) sévit en 2015.

  • CONTEXTE

    Le réseau électrique ukrainien a été la cible de cette cyberattaque. Les hackers ont eu recours au « phishing » en introduisant un malware dans le système informatique de 3 distributeurs d’énergie dans l’Ouest du pays.

  • METHODE

    Les hackers ont eu recours au spearfishing en envoyant des mails contenant un fichier Word infecté sur plusieurs ordinateurs cibles. Pour pouvoir être lisible, le document nécessitait l’activation de macros. Au premier PC contaminé, le virus s’est propagé sur le réseau.

    En amont, ils ont piraté l’active directory afin d’obtenir des informations d’identification pour pouvoir commander à distance le SCADA via des comptes VPN internes. Grâce à des IHM SCADA identifiées, ils ont pu accéder aux disjoncteurs et ainsi couper l’électricité.

    En parallèle, pour éviter la réactivation des disjoncteurs ouverts à distance ou quelconque remédiation, ils ont coupé l’alimentation de secours et corrompu les convertisseurs Ethernet/Série (situés entre le centre de supervision et de contrôle de la powergrid et les équipements terrain).

    Ils ont aussi utilisé un « killDisk » pour supprimer les données sur les postes infectés et les zones d’amorçage de disques dur de PC et ainsi effacer toute trace de leur passage.

    Enfin, ils ont attaqué via un déni de service téléphonique, le call-center des opérateurs d’énergie. De cette manière, les clients ne pouvaient pas déclarer les coupures d’électricité.

  • CONSEQUENCES

    Le virus a totalement mis hors service les machines industrielles de production d’électricité en Ukraine. Plus de 200 000 foyers ont été privés d’électricité pendant 3 à 6 heures d’affilées. Le redémarrage s’est fait manuellement après quelques jours. C’est la première fois qu’un tel impact est constaté sur des populations à l’échelle d’un État.

  • MOTIVATION

    Les hackers, spécialistes des systèmes industriels, avaient pour but d’empêcher tout redémarrage du système d’exploitation des ordinateurs infectés, effacer des données et détruire le disque dur afin d’accéder aux systèmes et en prendre le contrôle.

  • PRECONISATIONS

    L’attaque aurait pu être évitée si l’entreprise avait cloisonné ses réseaux et ainsi éviter une propagation aussi aisée. Une solution de détection d’intrusion comme la sonde CyPRES aurait pu détecter les connexions distantes mise en place. La surveillance du fonctionnement du process aurait permis également de détecter une déviance du process sur les disjoncteurs.

    Comme pour de nombreuses autres attaques cyber, la première défaillance est humaine. Ainsi, il est important de former son personnel aux bonnes pratiques qui peuvent éviter l’infiltration de virus comme c’est le cas ici lors de l’ouverture des fichiers Word envoyés par les hackers. Amélioré sa gestion de crise (transfert de l’activité, isolation d’une partie du réseau, restauration des données sauvegardées) est ici essentiel.  Enfin, il faut mettre en place les procédures pour bloquer les macros et contrôler les droits d’utilisateurs.

#6 : INDUSTROYER

  • DATE

    Industroyer cible l’Ukraine en Décembre 2016. La plus grande menace à l’encontre des systèmes de contrôle industriels depuis Stuxnet. C’est le premier virus conçu spécifiquement pour attaquer les réseaux électriques.

  • CONTEXTE

    Un peu avant minuit, la station haute-tension de Pivnichna, au nord de Kiev (capitale de l’Ukraine), a complètement disjoncté suite à une attaque informatique. Une coupure moins sévère que celle qui s’est manifestée dans l’ouest du pays en décembre 2015 mais tout de même impactante.

  • METHODE

    Industroyer (aka Crash Override) a utilisé 2 backdoors, un module pour lancer des attaques par déni de service, un wiper et les failles de 4 protocoles (IEC 60870-5-101, IEC 60870-5-104, IEC 61850 et OPC DA) permettant la communication avec le réseau électrique. Son composant principal, une porte dérobée, a permis aux hackers de contrôler les systèmes des réseaux électriques via un logiciel très complexe, capable de s’attaquer à n’importe quel réseau des centrales et relais électriques européens.

    En utilisant simultanément ces protocoles, ce malware a pu s’introduire sur les PC des administrateurs réseau, scanner le réseau, identifier les différents appareils installés pour les infecter et prendre le contrôle à distance. Les hackers ont ainsi pu ouvrir les disjoncteurs d’un transformateur et générer un blackout. Le but était de détourner de son usage premier les protocoles de communication des infrastructures. Les hackers ont aussi ajouté un module pour ne laisser aucune trace de leur activité (data wiper).

  • CONSEQUENCES

    Le virus a paralysé une station relais et perturbé le fonctionnement du réseau pendant environ une heure. Pour rétablir l’électricité, les techniciens ont dû repasser en mode manuel et intervenir sur la station concernée.

    Industroyer est une menace à prendre très au sérieux. Il a été conçu pour pouvoir être adapté à n’importe quel type de centrale. Du fait de sa grande modularité et de sa capacité à surveiller facilement le fonctionnement des réseaux, il pourrait très bien s’exporter en Europe, en Asie et au Moyen-Orient.

  • MOTIVATION

    Les hackers avaient une excellente connaissance du réseau électrique attaqué, ce qui laisse penser qu’ils étaient soit extrêmement organisés, soit soutenus par un état. Le but était avant tout de saboter et perturber les réseaux électriques.

  • PRECONISATIONS

    Sur cette attaque complexe, de nombreux aspects doivent être pris en compte, notamment la segmentation des réseaux, le codage des process industriels et la formation cyber du personnel de l’entreprise. La gestion de crise est également essentielle, notamment sur les aspects de transfert de l’activité, d’isolation d’une partie du réseau, de restauration des données sauvegardées. Enfin, l’analyse de risques permet d’évaluer les failles évidentes du SI et de travailler sur sa sécurisation (découvrez notre analyse de risque APERO qui associe cyber et sûreté de fonctionnement). Pour finir, un système de détection de cyberattaque capable d’analyser les protocoles spécifiques au domaine de l’énergie assure une détection efficace et propre à ces systèmes critiques (notre sonde CyPRES assure l’analyse des protocoles de l’énergie dont notamment le standard de communication IEC61850).

De nombreuses mesures de sécurité auraient pu être implémentées pour protéger ces infrastructures énergétiques des cyberattaques. Selon Cybelius, mettre en place des principes de base de sécurité pourraient significativement réduire les risques : la défense en profondeur, la détection d’anomalies, la séparation des réseaux IT et OT, l’installation des pares-feux, la mise en place d’une politique d’authentification, l’application des bonnes pratiques cyber, la formation des employés etc.

Toutes ces mesures sont aujourd’hui à la portée des industriels. Cybelius vous accompagne dans la mise en œuvre de vos choix stratégiques et dans la sécurisation de vos systèmes avec une offre de services étendue, ainsi que des solutions permettant de détecter les attaques, protéger les systèmes et assurer une remise en condition opérationnelle rapide et complète (comment investir votre premier euro en cybersécurité industrielle ? ).