Rating: 5.0. From 1 vote.
Please wait...

Irongate serait présent dans certains logiciels de simulation !

De quand date la découverte ?

conseils-logiciels-windows-moteurderecherche-sites-300x300 Sécurité : Irongate (Stuxnet) présent dans des logiciels de simulation !Au milieu de l’année 2015, des chercheurs de l’équipe FLARE (FireEye Labs Avanced Reverse Engineering), identifient plusieurs versions d’un malware axés sur l’ICS (Stuxnet).  Un malware conçu pour manipuler un processus industriel spécifique qui s’exécute dans un environnement de système de contrôle Siemens (SCADA). Plus précisément, le logiciel contrôleur de hardware de Siemens SIMATIC S7-PLCSIM serait concerné par les échantillons d’étude de l’équipe.

fireeye-cybersecurité-protection Sécurité : Irongate (Stuxnet) présent dans des logiciels de simulation !

La famille Irongate.

La découverte provient de l’étude d’échantillons issus de l’analyse en ligne « VirusTotal » de Google qui regroupe une cinquantaine d’antivirus. Une approche basée sur des souches de droppers compilés avec PyInstaller, largement utilisé par les acteurs malvaillants. Les chercheurs de Fireye, Rob Caldwell, Josh Homan et Sean McBride classent ce concept dans une nouvelle famille nommée « IRONGATE »

Quels sont les risques Irongate ?

Siemens Product Computer Emergency Readiness Team (ProductCERT) a confirmé que IRONGATE n’est pas viable contre des systèmes de contrôle Siemens opérationnels et détermine que IRONGATE n’exploite pas les vulnérabilités dans les produits Siemens. Les chercheurs de Fireye indiquent « Nous reconnaissons que IRONGATE pourrait être un cas de test, « Proof of Concept (POC) », ou une activité de recherche pour les techniques d’attaque ICS.  Notre analyse révèle que IRONGATE embarque des concepts d’attaque ICS lés à Stuxnet, mais dans un environnement de simulation. »

Une attaque MitM « Man-in-the-Middle ».

Les principales caractéristiques de IRONGATE est une man-in-the-middle (MitM) attaque des processus d’entrées-sorties (I/O) et de logiciels exploitant des processus au sein de la simulation de procédés industriels. Le malware remplace une ressource dynamique « Dynamic Link Library » (DLL) par une DLL malveillante, laquelle agit alors comme un intermédiaire entre un automate (PLC) et le logiciel de surveillance légitime. Cette ressource malveillante enregistre cinq secondes du trafic « Normal » d’un API de l’interface utilisateur et les relit pendant qu’il envoi des données différentes à l’automate. Cela pourrait permettre à un attaquant de modifier un processus contrôlé à l’insu du processus de l’opérateur.

IronGate invisible aux analyses antimalwares.

Selon les chercheurs, Irongate proche de Stuxnet, possède des protections de type Sandbox capables de le rendre invisible aux analyses antimalwares (Protection par byPass). Une technique que pourraient utiliser des cybercriminels pour installer des vers ou des chevaux de Troie sur des systèmes de simulation pour en prendre le contrôle à distance.

Définition Stuxnet

Stuxnet est un ver informatique découvert en 2010 conçu par la NSA en collaboration avec l’unité 8200 pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium. Le programme a été initié sous l’administration Bush et a continué sous l’administration Obama. Il fait partie de l’opération Olympic Games, et ses caractéristiques le classent parmi les APT.
(Source Wikipedia)

Lire l’article complet dans le blog sécurité de FireEye

2016-07-05T13:09:19+00:00 News, Sécurité|Commentaires fermés sur Sécurité : Irongate (Stuxnet) présent dans des logiciels de simulation !