La famille de backdoors BlackEnergy*, qui ciblent particulièrement les systèmes SCADA, sont considérés comme étant à l’origine de cyber-attaques récentes d’entreprises ukrainiennes, spécialisées dans la distribution d’énergie et dans les médias. Après que plusieurs opérateurs d’électricité aient été ciblés – ce qui a provoqué une importante panne de courant pour quelque 80 000 foyers en décembre dernier – l’aéroport principal de Kiev aurait été, lui aussi la cible d’assaillants.
Un malware d’une perversité exemplaire
BlackEnergy a complété son arsenal de piratage avec un outil d’effacement de disque et un serveur SSH truffé de portes dérobées. Le cheval de Troie semble en effet associé à des fonctionnalités DisKill, capables de nettoyer 4000 types de fichiers différents, provoquant par là même une défaillance au démarrage. Actif depuis plusieurs années, BlackEnergy cible en particulier les systèmes de contrôle industriel. Cependant, lors des récents incidents, comme ceux d’Ukraine, son mode opératoire semble avoir évolué. Quelques changements techniques sont apparus.
Prenons l’exemple du nettoyage des fenêtres de logs d’événements pour effacer les traces. Des arguments via CLI sont acceptés, permettant ainsi de définir le moment de déclenchement de l’attaque pour détruire et supprimer des fichiers, bien que, maintenant, cela vise un nombre plutôt moindre de types de fichiers.
BlackEnergy est connu dans le monde des logiciels malveillants depuis 2008, mais c’est seulement en 2014 qu’il est arrivé sous le feu des projecteurs, après avoir compromis plusieurs systèmes de contrôle. A ses débuts, le malware était utilisé pour des attaques DDOS et des fraudes bancaires.
Compteur d’activité & destinations uniques – Temps
Obtenir des informations sur le malware
Une plateforme de SIEM comme celle de LogPoint permet de rester en alerte et met en évidence l’information sur les programmes malveillants tels que BlackEnergy. Notre tableau de bord BlackEnergy v3 mis à disposition de nos clients peut être utilisé pour analyser les éventuels incidents survenant dans et autour de l’infrastructure. De plus, la base de malware peut aussi être enrichie par une mise à jour de la liste. En outre, la fourniture de mises à jour est régulière, comme il est d’usage dans la lutte contre les malwares pour résister efficacement.
Destinations infectées par la bande passante & Liste des détails de l’attaque
Outre des widgets spécifiques pour BlackEnergy, un système d’alertes et de reporting concernant le nettoyage des données d’audit et la suppression de fichiers est nécessaire. La bonne gestion des premiers incidents de départ grâce à un système d’alertes et de reporting efficace est très utile pour la mitigation des risques engendrés par BlackEnergy ou tous les logiciels malveillants de ce type.
La sécurité de l’information est une tâche toujours plus complexe, et les outils pour concevoir les cas d’usage et analyser les activités doivent être a contrario transparents et simples. Pour ce faire, des alertes et des statistiques détaillées mais concises doivent être générées, des rapports rapidement produits avec des tableaux de bord facilement configurés, donnant aux responsables sécurité des informations claires et pertinentes. Il ne faut pas seulement que l’activité malveillante ou frauduleuse soit découverte, il faut que l’on puisse immédiatement la traiter, avant que les dommages n’apparaissent.
*BlackEnergy est une menace très dynamique utilisée depuis des années par différentes organisations criminelles.
En été 2014, il a ciblé des organisations gouvernementales ukrainiennes pour voler des informations. Récemment, les cyber-attaques en Ukraine indiquent que BlackEnergy est utilisé pour des actions de destruction en plus de la compromission d’installations industrielles de contrôle et d’activités d’espionnage.
Frédéric Saulet est Directeur Régional Europe du Sud de LogPoint
Il est chargé de la croissance des opérations en France, Belgique, Luxembourg et Europe du Sud incluant l’Italie, l’Espagne et le Portugal. A 36 ans, Frédéric Saulet est un professionnel chevronné doté d’une expérience de 15 années dans l’industrie des technologies de l’information et de la cyber-sécurité. Avant de rejoindre LogPoint, il était Managing Director pour les régions EMEA Sud, le Benelux et les pays nordiques chez Qualys, responsable de la stratégie commerciale et en charge du développement et de la gestion du réseau d’alliances et de partenaires. Auparavant, Frédéric avait animé le réseau de partenaires de NEXThink en France et en Italie et occupé plusieurs postes de manager chez Trend Micro et BigFix.