Comment la centrale nucléaire indienne de Kudankulam a été piratée
Le raccordement des centrales nucléaires à Internet les rend vulnérables aux attaques menées par des pirates bénéficiant du support de leurs gouvernements. Le piratage de la centrale nucléaire indienne de Kudankulam est en ce sens exemplaire. Surtout, il aurait pu être évité.
Si vous pensez que l'attaque d'infrastructures civiles est un crime de guerre, vous avez raison... Mais des espions du monde entier mènent une guerre silencieuse et sale pour se positionner sur des infrastructures civiles - comme des centrales nucléaires civiles qui produisent de l'électricité - afin de pouvoir éventuellement saboter ces installations en cas de tension géopolitique. L'exemple du piratage de la centrale nucléaire indienne de Kudankulam (KNPP) illustre bien cette guerre souterraine. Il montre aussi qu'il aurait pu être facilement évité.
Le piratage de la centrale KNPP
Comme c'est souvent le cas aujourd'hui, l'information a été révélée sur Twitter. Pukhraj Singh (@RungRage), un « spécialiste reconnu de la cyber intelligence » qui, selon The New Indian Express, a « contribué à la mise en place du centre d'opérations de cyberguerre de l'Organisation nationale de recherche technique (NTRO) », a posté le tweet suivant : « L'information est désormais publique. Intrusion dans le contrôleur de domaine de la centrale nucléaire de Kudankulam. Le gouvernement en a été averti depuis longtemps. Des cibles extrêmement critiques ont été touchées ». Pukhraj Singh cite un tweet selon lequel le gouvernement était au courant de l'attaque dès le 7 septembre 2019, qu'il a qualifiée de « casus belli », c'est-à-dire suffisamment grave pour déclencher une guerre. Dans un tweet ultérieur, Pukhraj Singh a précisé qu'il n'avait pas découvert le malware lui-même. Une tierce partie « m'a contacté et j'ai avisé le coordonnateur national de la cybersécurité le 4 septembre (la date est capitale). La tierce partie a ensuite partagé les IoC - les inversions de contrôle - avec le bureau du National Cyber Security Centre (NCSC) les jours précédents. Kaspersky, qui l'a signalé plus tard, a surnommé l'attaque DTrack ».
Dans un premier temps, la Nuclear Power Plant Corporation of India (NPCI) a nié l'évènement. Dans un communiqué de presse, la NPCI a dénoncé les « fausses informations » des médias sociaux et a insisté sur le fait que la centrale nucléaire du KNPP était « autonome et qu'elle n'était ni connectée à un cyber-réseau extérieur, ni à Internet » et que « toute cyberattaque contre le système de contrôle des centrales nucléaires était impossible ». Mais, dans un second temps, la Nuclear Power Plant Corporation of India (NPCI) a fait une toute autre déclaration. Le 30 octobre, elle a confirmé que des malwares avaient effectivement été découverts sur ses systèmes et que le CERT-India avait remarqué l'attaque pour la première fois le 4 septembre 2019. Dans son communiqué, la NPCI a affirmé que le PC infecté était connecté au réseau administratif, supposément « isolé du réseau interne critique ». « L'enquête confirme également que les systèmes de la centrale n'ont pas été affectés », avait-il conclu.
Une attaque ciblée
Selon les chercheurs de CyberBit, contrairement à ce qu'ont affirmé certains rapports initiaux, le malware semble avoir ciblé spécifiquement l'installation de la centrale nucléaire indienne de Kudankulam. L'ingénierie inverse de l'échantillon de malware a montré qu'il contenait des informations d'identification d'administrateur codées en dur pour les réseaux de la KNPP (nom d'utilisateur : /user:KKNPP\\administrator password : su.controller5kk) ainsi que les adresses IP RFC 1918 (172.22.22.22.156, 10.2.114.1, 172.22.22.5, 10.2.4.1, 10.38.1.35) par définition non routables sur Internet. Cela signifie qu'il est fort probable que l'attaquant s'était déjà introduit par effraction dans les réseaux de la centrale nucléaire indienne, qu'il a cherché des périphériques NAT, qu'il a volé les identifiants administrateur, puis qu'il a intégré ces données dans le nouveau malware, pour préparer une charge utile de deuxième étape qu'il a utilisée pour effectuer une reconnaissance plus approfondie des réseaux KNPP. « L'attaque contre cette centrale était très ciblée », a déclaré Hod Gavriel, analyste en malwares de CyberBit. « C'était probablement la seconde étape de l'attaque ». Cependant, les malwares découverts ne comprenaient pas de fonctions de type Stuxnet pour détruire les systèmes de la KNPP. « Cette phase ne visait que la collecte d'informations, et non le sabotage », a encore expliqué M. Gavriel.
La Corée du Nord impliquée ?
De nombreux chercheurs en sécurité ont téléchargé et analysé le malware sur VirusTotal, et beaucoup ont noté les similitudes de code avec les logiciels malveillants précédemment attribués au groupe de pirates nord-coréens Lazarus. Un analyste de Kaspersky, qui a trouvé des similitudes remontant à 2013, a écrit : « Le grand nombre d'échantillons Dtrack que nous avons pu trouver montre que le groupe Lazarus est l'un des groupes APT les plus actifs en termes de développement de malware. Cependant, étant donné le faible intérêt géopolitique que représente l'Inde pour la Corée du Nord, il est possible qu'un autre groupe de pirates a volé le code nord-coréen pour l'inclure dans son malware et brouiller les pistes ».
Défaut de surveillance
Le malware est caché dans des copies modifiées de programmes légitimes, comme 7Zip ou VNC. Cette technique permet souvent d'échapper aux radars des scanners antivirus. Une vérification plus approfondie des signatures du programme aurait permis d'identifier ce vecteur d'attaque. Elle aurait permis de voir que le hachage du programme modifié était différent du hachage signé par l'éditeur du logiciel. Le succès de cette attaque montre que le KNPP ne vérifiait pas les signatures logicielles des hachages de fichiers. « Il est très difficile de détecter ce genre d'attaques en mode passif », fait encore remarquer Hod Gavriel, l'analyste en malwares de CyberBit. « La détection de ce type de malwares très ciblés est susceptible de générer des faux positifs qui nécessitent des analystes qualifiés ». Les équipes de sécurité travaillant pour des infrastructures critiques, cibles potentielles de pirates, doivent effectuer une surveillance constante du réseau à la recherche d'activités suspectes afin d'identifier les menaces et les éliminer avant qu'elles ne puissent causer quelque dommage que ce soit.