Irongate : un malware aux airs de Stuxnet cible les SCADA

Jacques Cheminat,

Un malware empruntant des caractéristiques à Stuxnet, nommé Irongate, cible lui aussi les systèmes industriels SCADA de Siemens.

Les chercheurs FireEye ont découvert un malware relativement complexe qui emprunte certains éléments de Stuxnet. Il vise lui aussi les systèmes industriels SCADA fournis par Siemens. Josh Homan, Sean McBride, et Rob Caldwell ont dénommé ce malware « Irongate » et pensent qu’il est encore au stade de POC (Proof of Concept) et non encore actif.

Irongate dispose de quelques fonctionnalités intéressantes. La première est qu’il est capable de lancer une attaque MiTM (man in the middle), dite de l’homme du milieu sur le processus d’entrée/sortie et le logiciel de l’opérateur. Il utilise également des librairies DLL malveillantes pour enregistrer le trafic, ce qui « pourrait permettre à un attaquant de modifier un processus à l’insu du process de l’opérateur », souligne les chercheurs. Reste que l’équipe est encore dans le doute sur la façon de procéder pour l’attaque MiTM, elle privilégie une activation manuelle.

Anti sandbox et anti malware

De plus Irongate est capable d’éviter les protections de type sandbox et comprend du code anti-analyse pour éviter que les chercheurs puissent fouiller en profondeur le malware. Rusé, il vérifie si des environnements virtualisés de sandbox de type VMware et Cuckoo sont présents. Dans ce cas, le malware ne se télécharge pas.

Des façons de procéder qui rappellent inévitablement Stuxnet. Le virus créé probablement par les Etats-Unis et Israel pour saboter une centrifugeuse d’uranium en Iran, comprenait des modus operandi similaires avec techniques anti-sandbox, cibles équivalentes, etc. Mais il y a des différences entre les deux malwares. Ainsi, Stuxnet vérifiait la présence d’anti-virus, Irongate détecte des environnements d’observation et d’exécution contrôlée de logiciels malveillants.

Il reste des zones d’incertitude. FireEye  a été incapable de relier Irongate avec une campagne de cybersécurité ou un groupe de cybercriminels. Ce qui fait dire aux chercheurs qu’Irongate en est au stade de prototype. Il faut espérer qu’ils aient raison.

A lire aussi :

Sécuriser les Scada : « ce sera cher et difficile », dit Kaspersky

Scada : des hackers manipulent le retraitement des eaux

Crédit Photo : Genkur-Shutterstock