Accueil / IT Business / Communiqués / Recherche Mandiant : Des outils dangereux visent les infrastructures critiques

Recherche Mandiant : Des outils dangereux visent les infrastructures critiques

Suite à l’alerte de la CISA de la nuit dernière, Mandiant a publié de nouvelles recherches sur un ensemble d’outils de « cyberattaques exceptionnellement rare et dangereux » appelé « INCONTROLLER ».

La recherche complète, ainsi qu’une série de recommandations permettant de limiter le risques et des indications de méthodologies de « Hunting », sont disponibles ici : https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool.   

INCONTROLLER comprend trois outils qui permettent à l’attaquant d’envoyer des instructions à une variété de dispositifs de systèmes de contrôle industriel (ICS) intégrés dans différents types de machines dans diverses industries critiques (par exemple, les centrales électriques, fraiseuses, presses industrielles utilisées dans de nombreux secteurs manufacturiers, etc.)  Il est possible que chaque outil soit utilisé indépendamment, ou que l’acteur utilise les trois outils pour attaquer un seul environnement.

Ils peuvent être utilisés pour :

– Arrêter des machines critiques

– Saboter des processus industriels

– Désactiver les contrôles de sécurité pour provoquer la destruction physique des machines, ce qui pourrait entraîner la perte de vies humaines.

Nous notons que la fonctionnalité d’INCONTROLLER « est cohérente avec les logiciels malveillants utilisés dans les précédentes cyberattaques physiques de la Russie. » Par conséquent, les experts de Mandiant estiment que « INCONTROLLER représente la plus grande menace pour l’Ukraine, les États membres de l’OTAN et les autres États qui répondent activement à l’invasion de l’Ukraine par la Russie. » 

Vous trouverez ci-dessous une déclaration de Nathan Brubaker, directeur de l’analyse du renseignement chez Mandiant, résumant ces conclusions : 

« Mandiant, en partenariat avec Schneider Electric, a récemment analysé un ensemble de nouveaux outils d’attaque orientés vers les systèmes de contrôle industriel (ICS) – que nous appelons INCONTROLLER – construits pour cibler des dispositifs Schneider Electric et Omron spécifiques qui sont intégrés dans différents types de machines utilisées dans de multiples industries. INCONTROLLER représente une opportunité de cyberattaque exceptionnellement rare et dangereuse. Après STUXENT, INDUSTROYER et TRITON, il s’agit du quatrième malware ICS orienté « destruction ». 

INCONTROLLER est très probablement commandité par un État et contient des fonctionnalités liées à la déstabilisation, au sabotage et potentiellement à la destruction physique. Bien que nous ne soyons pas en mesure d’attribuer définitivement le malware, nous notons que cette activité est cohérente avec l’intérêt historique de la Russie pour les ICS. INCONTROLLER présente un risque critique pour les organisations qui utilisent les dispositifs ciblés. Les organisations doivent prendre des mesures immédiates pour déterminer si les dispositifs ICS ciblés sont présents dans leurs environnements et commencer à appliquer les contre-mesures, les méthodes de découverte et les outils de détection propres à chaque société. »

D’autres points essentiels sont énumérés ci-dessous. N’hésitez pas à me faire savoir si vous avez des questions à poser aux experts de Mandiant à ce sujet.

Informations complémentaires : 

  • Mandiant a commencé à mener son analyse sur INCONTROLLER début 2022, en partenariat avec Schneider Electric.
  • INCONTROLLER est comparable à TRITON, qui a tenté de désactiver un système de sécurité industrielle en 2017, à INDUSTROYER, qui a provoqué une panne de courant en Ukraine en 2016, et à STUXNET, qui a saboté le programme nucléaire iranien en 2010.
  • Mandiant suit également deux autres logiciels qui pourraient être liés à cette menace et qui affectent les systèmes Windows.

o   Il est possible que ces outils soient utilisés pour soutenir le cycle de vie global d’une attaque INCONTROLLER en exploitant des systèmes Windows dans des environnements informatiques ou de technologie opérationnelle (OT).

 

A voir

Rubrik lance Rubrik Security Cloud pour une meilleure protection des données

Rubrik, le spécialiste de la sécurité des données Zéro Trust, annonce le lancement de Rubrik Security Cloud pour mieux protéger les données des clients où qu'elles soient, dans l'entreprise sur le cloud ou en mode SaaS.