Comment la centrale nucléaire indienne de Kudankulam a été piratée

le 12/12/2019, par J.M. Porup, CSO (adaptation Jean Elyan), Sécurité, 944 mots

Le raccordement des centrales nucléaires à Internet les rend vulnérables aux attaques menées par des pirates bénéficiant du support de leurs gouvernements. Le piratage de la centrale nucléaire indienne de Kudankulam est en ce sens exemplaire. Surtout, il aurait pu être évité.

Comment la centrale nucléaire indienne de Kudankulam a été piratée

Si vous pensez que l'attaque d'infrastructures civiles est un crime de guerre, vous avez raison... Mais des espions du monde entier mènent une guerre silencieuse et sale pour se positionner sur des infrastructures civiles - comme des centrales nucléaires civiles qui produisent de l'électricité - afin de pouvoir éventuellement saboter ces installations en cas de tension géopolitique. L'exemple du piratage de la centrale nucléaire indienne de Kudankulam (KNPP) illustre bien cette guerre souterraine. Il montre aussi qu'il aurait pu être facilement évité.

Le piratage de la centrale KNPP

Comme c'est souvent le cas aujourd'hui, l'information a été révélée sur Twitter. Pukhraj Singh (@RungRage), un « spécialiste reconnu de la cyber intelligence » qui, selon The New Indian Express, a « contribué à la mise en place du centre d'opérations de cyberguerre de l'Organisation nationale de recherche technique (NTRO) », a posté le tweet suivant : « L'information est désormais publique. Intrusion dans le contrôleur de domaine de la centrale nucléaire de Kudankulam. Le gouvernement en a été averti depuis longtemps. Des cibles extrêmement critiques ont été touchées ». Pukhraj Singh cite un tweet selon lequel le gouvernement était au courant de l'attaque dès le 7 septembre 2019, qu'il a qualifiée de « casus belli », c'est-à-dire suffisamment grave pour déclencher une guerre. Dans un tweet ultérieur, Pukhraj Singh a précisé qu'il n'avait pas découvert le malware lui-même. Une tierce partie « m'a contacté et j'ai avisé le coordonnateur national de la cybersécurité le 4 septembre (la date est capitale). La tierce partie a ensuite partagé les IoC - les inversions de contrôle - avec le bureau du National Cyber Security Centre (NCSC) les jours précédents. Kaspersky, qui l'a signalé plus tard, a surnommé l'attaque DTrack ».

Dans un premier temps, la Nuclear Power Plant Corporation of India (NPCI) a nié l'évènement. Dans un communiqué de presse, la NPCI a dénoncé les « fausses informations » des médias sociaux et a insisté sur le fait que la centrale nucléaire du KNPP était « autonome et qu'elle n'était ni connectée à un cyber-réseau extérieur, ni à Internet » et que « toute cyberattaque contre le système de contrôle des centrales nucléaires était impossible ». Mais, dans un second temps, la Nuclear Power Plant Corporation of India (NPCI) a fait une toute autre déclaration. Le 30 octobre, elle a confirmé que des malwares avaient effectivement été découverts sur ses systèmes et que le CERT-India avait remarqué l'attaque pour la première fois le 4 septembre 2019. Dans son communiqué, la NPCI a affirmé que le PC infecté était connecté au réseau administratif, supposément « isolé du réseau interne critique ». « L'enquête confirme également que les systèmes de la centrale n'ont pas été affectés », avait-il conclu.

Une attaque ciblée

Selon les chercheurs de CyberBit, contrairement à ce qu'ont affirmé certains rapports initiaux, le malware semble avoir ciblé spécifiquement l'installation de la centrale nucléaire indienne de Kudankulam. L'ingénierie inverse de l'échantillon de malware a montré qu'il contenait des informations d'identification d'administrateur codées en dur pour les réseaux de la KNPP (nom d'utilisateur : /user:KKNPP\\administrator password : su.controller5kk) ainsi que les adresses IP RFC 1918 (172.22.22.22.156, 10.2.114.1, 172.22.22.5, 10.2.4.1, 10.38.1.35) par définition non routables sur Internet. Cela signifie qu'il est fort probable que l'attaquant s'était déjà introduit par effraction dans les réseaux de la centrale nucléaire indienne, qu'il a cherché des périphériques NAT, qu'il a volé les identifiants administrateur, puis qu'il a intégré ces données dans le nouveau malware, pour préparer une charge utile de deuxième étape qu'il a utilisée pour effectuer une reconnaissance plus approfondie des réseaux KNPP. « L'attaque contre cette centrale était très ciblée », a déclaré Hod Gavriel, analyste en malwares de CyberBit. « C'était probablement la seconde étape de l'attaque ». Cependant, les malwares découverts ne comprenaient pas de fonctions de type Stuxnet pour détruire les systèmes de la KNPP. « Cette phase ne visait que la collecte d'informations, et non le sabotage », a encore expliqué M. Gavriel.

La Corée du Nord impliquée ?

De nombreux chercheurs en sécurité ont téléchargé et analysé le malware sur VirusTotal, et beaucoup ont noté les similitudes de code avec les logiciels malveillants précédemment attribués au groupe de pirates nord-coréens Lazarus. Un analyste de Kaspersky, qui a trouvé des similitudes remontant à 2013, a écrit : « Le grand nombre d'échantillons Dtrack que nous avons pu trouver montre que le groupe Lazarus est l'un des groupes APT les plus actifs en termes de développement de malware. Cependant, étant donné le faible intérêt géopolitique que représente l'Inde pour la Corée du Nord, il est possible qu'un autre groupe de pirates a volé le code nord-coréen pour l'inclure dans son malware et brouiller les pistes ».

Défaut de surveillance

Le malware est caché dans des copies modifiées de programmes légitimes, comme 7Zip ou VNC. Cette technique permet souvent d'échapper aux radars des scanners antivirus. Une vérification plus approfondie des signatures du programme aurait permis d'identifier ce vecteur d'attaque. Elle aurait permis de voir que le hachage du programme modifié était différent du hachage signé par l'éditeur du logiciel. Le succès de cette attaque montre que le KNPP ne vérifiait pas les signatures logicielles des hachages de fichiers. « Il est très difficile de détecter ce genre d'attaques en mode passif », fait encore remarquer Hod Gavriel, l'analyste en malwares de CyberBit. « La détection de ce type de malwares très ciblés est susceptible de générer des faux positifs qui nécessitent des analystes qualifiés ». Les équipes de sécurité travaillant pour des infrastructures critiques, cibles potentielles de pirates, doivent effectuer une surveillance constante du réseau à la recherche d'activités suspectes afin d'identifier les menaces et les éliminer avant qu'elles ne puissent causer quelque dommage que ce soit.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...