Symantec vient de publier un inquiétant rapport sur une cyberattaque en cours, au niveau mondial, opérée par le groupe DragonFly et visant des sociétés opérant dans le secteur de l’énergie, aux Etats-Unis et en Europe. L’objectif est de pouvoir désactiver des sources d’énergie, notamment des centrales nucléaire, en un clic de souris – voire d’en prendre le contrôle. Comme une confirmation qu’une cyberguerre est bien engagée entre des Etats, avec des conséquences qui pourraient être graves, voire dramatiques.
Le 6 septembre, Symantec a présenté un rapport sur les agissements récents d’un groupe de hackers baptisé DragonFly : en sommeil depuis que Symantec avait, déjà, alerté sur ses agissements en 2014, ce groupe semble avoir repris ses activités, en passant à la vitesse supérieure.
DragonFly a infiltré une vingtaine de centrales nucléaires américaines, suisses et turques
La première vague d’attaque de 2014 visait déjà des acteurs de l’énergie, mais sans chercher à atteindre le niveau opérationnel, comme une mission de reconnaissance sur les moyens d’attaquer ces cibles ultra-sensibles. DragonFly est passé à la seconde phase de son offensive, cette fois en pénétrant le cœur de plusieurs acteurs clés de l’énergie, aux Etats-Unis et en Europe.
« Parmi les victimes du groupe DragonFly, on retrouve des opérateurs de réseaux électriques, plusieurs fournisseurs d’énergies électriques majeurs, des opérateurs de pipelines ainsi que des équipementiers et fournisseurs d’appareils destinés aux industriels » explique Symantec. Le groupe de hackers est notamment parvenu à infiltrer une vingtaine de centrales nucléaires entre le printemps et l’été 2016, en Suisse, en Turquie et aux Etats-Unis – cette fois en accédant au système opérationnel.
« Le groupe a désormais la capacité de se livrer à du sabotage »
« Le groupe Dragonfly semble vouloir découvrir comment fonctionnent ces usines mais aussi accéder aux systèmes opérationnels directement. Au point que le groupe a désormais la capacité de se livrer à du sabotage ou à en prendre le contrôle s’il le souhaite. » note ainsi l’éditeur de sécurité.
Symantec rassure tout de même en précisant que le groupe n’est encore qu’au stade de la collecte de données et d’informations : mais DragonFly aurait, en tout cas aux Etats-Unis, les moyens de passer à une phase d’attaque active, en activant l’interrupteur qui contrôle la production d’énergie.
En clair, un groupe de cyberterroristes dont on ne sait rien aurait, aujourd’hui, la capacité d’éteindre plusieurs centrales nucléaires aux Etats-Unis – et bientôt de prendre la main sur leur système de contrôle. L’annonce fait froid dans le dos, et montre à quel point la cybercriminalité est devenu puissante et dangereuse.
Un mode opératoire classique, mais avec des outils « maison » très performants
Le mode opératoire de DragonFly est d’ailleurs assez classique : des techniques de phishing ont permis de compromettre les comptes et les identifiants de salariés clés des sociétés attaquées ; le groupe a également régulièrement piraté des sites utilisés par les employés d’une société visée pour installer un exploit kit sur les navigateurs de ces derniers – et ainsi récupérer leurs accès à des données plus sensibles. DragonFly a également eu recours à de fausses mises à jour de logiciels pour installer des backdoors dans le réseau interne.
Détail qui a son importance : le groupe utilise Trojan.heriplor, un malware de type RAT qui n’avait jamais été observé avant. Il semble que DragonFly ait développé un outil spécifique pour cette attaque, probablement à partir du code source publié en 2011 de Karagany, un malware équivalent, également utilisé par DragonFly. Le groupe semble réellement à la pointe des technologies actuelles de cyberattaque, ce qui laisse supposer des moyens et des équipes fournies.
Une attaque probablement liée à un groupe de renseignement étatique
L’origine précise de DragonFly demeure inconnue, mais des indices poussent à regarder vers l’Est de l’Europe. D’abord les parties de code des malwares spécifiques à DragonFly sont rédigés alternativement en russe et en français, Symantec estimant qu’une des deux langues est un leurre. Plus troublant encore, les heures de compilation des malwares prouvent que les membres de DragonFly sont actifs les jours de la semaine, à des horaires correspondant à la plage 9h-17h sur le fuseau horaire de l’Europe de l’Est – dont la Russie.
Symantec en déduit qu’il est probable que ces attaques soient le fait d’un Etat, employant des hackers à des horaires de bureau. Il convient d’être prudent, car ces indices sont des paramètres assez facilement falsifiables : mais si l’attaque n’émane pas, directement ou indirectement, des services de renseignement russes, elle provient d’un groupe qui veut faire croire qu’elle émane de la Russie.
L’équilibre de la terreur 2.0
Cette affaire illustre bien ce nouvel ordre mondial, déjà entrevu dans les piratages russes durant la campagne présidentielle américaine : chaque groupe étatique vise à poser le maximum de portes dérobées ou de bombes à retardement dans les systèmes informatiques clés de ses opposants politiques, afin d’avoir un moyen de pression pour éviter de se faire, à son tour, hacker.
Cela vous rappelle quelque chose ? La cybercriminalité étatique, ou l’équilibre de la terreur version 2.0.