Le malware ICS Incontroller a des capacités « rares et dangereuses », explique Mandiant

Un ensemble de nouveaux outils d’attaque orientés système de contrôle industriel (ICS), baptisé Incontroller par des chercheurs de Mandiant et de Schneider Electric, présente un risque critique pour les organisations utilisant l’équipement qui intègre les dispositifs d’automatisation des machines ciblées, selon une nouvelle alerte.

Incontroller interagit avec des éléments spécifiques de Schneider Electric et d’Omron intégrés dans différents types de machines présentes dans de multiples industries. Les appareils ciblés connus comprennent les automates Schneider Electric Modicon M251, Modicon M258 et Modicon M221 Nano, les automates Omron NX1P2 et NJ501 et le servovariateur R88D-1SN10F-ECT. Il est fort probable que ceux-ci aient été sélectionnés par les opérateurs d’Incontroller car ils permettent la reconnaissance dans des environnements cibles spécifiques – cela a été un modus operandi assez standard pour les logiciels malveillants ICS dans le passé.

Nathan Brubaker, directeur de l’analyse du renseignement chez Mandiant, a déclaré: « Incontroller représente une capacité de cyberattaque exceptionnellement rare et dangereuse, après Stuxnet, Industroyer et Triton en tant que quatrième malware ICS orienté attaque.

« Incontroller est très probablement parrainé par l’État et contient des capacités liées à la perturbation, au sabotage et, potentiellement, à la destruction physique. Bien que nous ne soyons pas en mesure d’attribuer définitivement le logiciel malveillant, nous notons que l’activité est conforme à l’intérêt historique de la Russie pour ICS.

« Incontroller présente un risque critique pour les organisations qui exploitent les appareils ciblés et affectés. Les organisations doivent prendre des mesures immédiates pour déterminer si les dispositifs ICS ciblés sont présents dans leur environnement et commencer à appliquer des contre-mesures, des méthodes de découverte et des outils de chasse spécifiques aux fournisseurs.

Incontroller intègre trois outils qui permettent à l’attaquant de frapper des périphériques ICS à l’aide de divers protocoles réseau. Les outils s’appellent Tagrun, Codecall et Omshell.

Le premier, Tagrun, a un rôle d’analyse et de reconnaissance, obtenant une vue d’ensemble détaillée des systèmes et des processus, mais il peut également écrire et modifier les valeurs des balises, ce qui signifie qu’il pourrait être utilisé pour modifier les données à l’appui d’une attaque ou pour l’obscurcissement.

Codecall, quant à lui, sert à communiquer avec les appareils ICS de Schneider Electric en utilisant les protocoles Modbus et Codesys. Ses capacités incluent la possibilité de charger, télécharger et supprimer des fichiers sur l’appareil, de déconnecter les sessions existantes, de tenter des attaques par déni de service distribué (DDoS), de provoquer des plantages et d’envoyer des paquets bruts personnalisés.

Enfin, Omshell sert à obtenir un accès shell aux périphériques Omron via les protocoles HTTP et FINS propriétaires d’Omron. Outre l’énumération des équipements cibles, il peut effacer les mémoires du programme et effectuer des réinitialisations, se connecter à une porte dérobée sur l’appareil pour l’exécution arbitraire de commandes, tuer les processus arbitraires sur l’appareil et y transférer des fichiers.

Mandiant a déclaré que les détections basées sur des indicateurs sont peu susceptibles de détecter Incontroller dans les environnements victimes, probablement parce que, comme avec ses logiciels malveillants ICS homologues, les attaquants l’auront presque certainement modifié et personnalisé de manière approfondie. Au lieu de cela, il faudrait prêter attention aux méthodes de chasse et de détection basées sur le comportement. Des informations plus détaillées sur la détection, la confrontation et l’atténuation de la menace peuvent être trouvées ici.

Bien que Mandiant se soit abstenu d’attribuer directement Incontroller à un acteur russe de menace persistante avancée (APT), il a déclaré que les preuves historiques pointaient dans cette direction. En tant que tel, Incontroller est susceptible d’être une menace plus urgente pour les organisations présentes en Ukraine et, dans une moindre mesure, pour les États membres de l’OTAN et d’autres pays alliés.

Incontroller est le deuxième ensemble d’outils malveillants spécifiques à ICS à émerger en l’espace d’une semaine. Le 12 avril, des chercheurs de l’ESET, ainsi que l’équipe d’intervention d’urgence informatique du gouvernement ukrainien, CERT-UA, ont révélé l’existence d’Industroyer2, qui a été utilisé dans une attaque contre une compagnie d’électricité ukrainienne. L’attaque a été repoussée avec succès.

Enfant d’Industroyer, un outil de l’APT Sandworm ou Voodoo Bear, et lié à l’agence de renseignement russe GRU, Industroyer2 a ciblé les systèmes d’exploitation Windows, Linux et Solaris sur les sous-stations électriques haute tension de la cible. Il s’agit d’un malware très ciblé et probablement conçu sur mesure pour chaque cible sélectionnée par ses opérateurs.

À la lumière de ces divulgations, la Cybersecurity and Infrastructure Security Agency des États-Unis a publié le 13 avril une nouvelle alerte sur la menace qui pèse sur l’infrastructure ICS, y compris celle d’Incontroller.