Passer au contenu

Un groupe de hackers très sophistiqué cible les infrastructures électriques

Les pirates à l’origine du malware Triton sont en train de sonder des douzaines d’installations électriques. Jusqu’à présent, ils s’étaient cantonnés au secteur pétrolier.   

La tension monte chez les fournisseurs d’électricité. D’après les chercheurs en sécurité de Dragos, un groupe de hackers de haut vol est en train de sonder les réseaux informatiques de « plusieurs douzaines » d’infrastructures électriques aux Etats-Unis et en Asie-Pacifique. Chez l’Oncle Sam, environ une vingtaine d’installations ont ainsi été ciblées. Pour l’instant, ces attaques ne sont pas allées très loin. Elles se sont limitées à des scans réseau et des tentatives de connexion à des comptes utilisateurs. Le but, dans un premier temps, est de collecter des informations techniques et de tester des vulnérabilités avant de passer aux choses sérieuses.

Si ces attaques sont inquiétantes, c’est parce qu’elles proviennent d’un groupe qui s’est déjà introduit par le passé dans des infrastructures pétrolières dans le but de préparer des actions destructives. Dragos a baptisé ce groupe « Xenotime ». Il est également connu sous le nom de leur malware, « Triton ». Une première intrusion avait été détectée en 2017 par Dragos et FireEye dans une infrastructure en Arabie saoudite, provoquant un arrêt inopiné de la production. Une seconde a été décelée en avril 2019 par FireEye. Entre temps, les hackers auraient – selon Dragos – sondé un nombre « significatif » d’entreprises en Amérique du nord et en Europe.   

Capacité de destruction

Durant les deux intrusions qui ont pu être analysées, Xenotime a fait preuve d’une connaissance approfondie des processus et des infrastructures industrielles. Mais ce qui est surtout effrayant, c’est que ce groupe cible des systèmes de sécurité appelés « Safety Instrument Systems » (SIS). Ces derniers surveillent en permanence l’état des équipements et font en sorte que le fonctionnement soit sécurisé. En cas de problème, ils peuvent stopper certains processus et, ainsi, éviter des dégâts éventuels. Ces systèmes sont donc la cible idéale pour quelqu’un qui souhaite disposer d’une capacité de destruction.   

Les découvertes de Dragos montrent que ces hackers ne se cantonnent plus au secteur pétrolier mais ont ajouté le secteur électrique sur leur feuille de route. Le récent black-out en Argentine montre à quel point une défaillance du réseau électrique peut mettre à mal le fonctionnement d’un pays. Qui se cache derrière Xenotime ? Difficile à dire. Il y a quelques mois, les analystes de FireEye se sont risqués à une attribution. D’après eux, certains outils de ce groupe de hackers auraient été développés au sein d’un laboratoire étatique basé à Moscou. L’ombre de Poutine plane donc sur ce groupe de hackers que Dragos considère comme l’un des plus dangereux de la planète.

Sources : Dragos, FireEye

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN