Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

GreyEnergy – Une menace ciblant les infrastructures industrielles critiques

Je ne sais pas si vous vous souvenez, mais le 23 décembre 2015, environ 230 000 Ukrainiens ont été plongés dans le noir suite à une coupure d’électricité gigantesque.

La particularité de cette coupure de courant est qu’elle a été provoquée par un malware identifié sous le nom de BlackEnergy.

Ce cheval de Troie découvert la première fois en 2007 était, à l’origine, capable de faire du DDoS, du renseignement et des attaques destructrices. Puis vers 2014, il a été enrichi de modules permettant de cibler SCADA et ainsi prendre la main sur les systèmes de contrôle industriels (ICS).

Transmis à l’aide de phishing et infectant le réseau du fournisseur d’énergie ukrainien, Prykarpattya Oblenergo, BlackEnergy a été pris très au sérieux par les enquêteurs. C’est la première fois qu’un malware avait un tel impact stratégique sur la population d’un pays.

Peu après BlackEnergy, ce fut au tour du malware Industroyer de frapper, provoquant une seconde coupure majeure de courant dans la capitale ukrainienne en 2016. Au même moment, apparaissait alors un groupe d’APT (Advanced Persistent Threat) baptisé TeleBots.

TeleBots est aussi connu notamment pour être à l’origine du malware KillDisk qui a frappé plusieurs institutions financières, mais aussi, d’après ESET, à l’origine de NotPetya qui a paralysé de nombreuses entreprises en 2017 (Fedex, Merck, Maersk mais aussi Durex) provoquant pour un total de 10 milliards de dollars de dégâts.

Mais là où il y a du neuf, c’est que TeleBots est aussi, d’après ESET, à la source d’un malware baptisé GreyEnergy, semblable à BlackEnergy, c’est-à-dire capable de frapper les systèmes de contrôle industriels, mais avec beaucoup plus de furtivité.

GreyEnergy a déjà été remarqué lors de plusieurs attaques en Ukraine et en Pologne durant ces 3 dernières années. Il fonctionne, comme BlackEnergy, à l’aide de modules qui se chargent à la demande en fonction des besoins, parfois uniquement en mémoire, et qui peuvent disparaitre sans laisser de traces.

Les modules identifiés sont, pour le moment, utilisés à des fins d’espionnage (backdoor, extraction de fichiers, captures écran, keylogger, vols de mot de passe…etc.), mais ESET indique que les similitudes de GreyEnergy avec BlackEnergy et Industroyer, indiquent que celui-ci aurait été mis au point avec TeleBots.

De plus, le panel de machines ciblées qui sont pour la majorité des systèmes ICS avec SCADA, laisse fortement supposer l’arrivée prochaine de modules permettant de cibler les systèmes industriels.

GreyEnergy se transmet grâce à du spearphishing (hameçonnage ciblé), de la compromission de sites web publics et utilise du code et une architecture logicielle semblable à celle de BlackEnergy et d’autres malwares du groupe TeleBots.

GreyEnergy utilise des outils externes comme PsExec, WinExe, Nmap ou encore Mimikatz pour se déployer et faire sa collecte de renseignement. De plus, chaque serveur C&C (Control & Command) de GreyEnergy est un relai Tor actif tout comme l’étaient les serveurs C&C de BlackEnergy.

Bref, une belle saloperie qui, lorsqu’elle sera pleinement active, mettra probablement à genoux de nouveaux systèmes industriels.

Et là on peut tout imaginer : Usines, systèmes électriques, systèmes de gestion des infrastructures de transport, systèmes de distribution d’eau, centrales nucléaires…etc.

La seule question à laquelle le livre blanc de ESET ne répond pas, c’est : Quand ?

Source


Travailler dans un groupe d’aéronautique ?

Découvrez les offres d’emploi et de stages de Safran dans la data, le digital, le logiciel et les systèmes d’information

Machine Learning, technologie 3D, systèmes de communication ou encore robotique, vous serez amenés à travailler sur différents projets innovants dans une entreprise qui vous laissera entièrement libre de proposer vos idées et qui vous accompagnera dans vos projets.

Vous pourrez peut être travailler sur notre projet Cassiopée : il s’agit du service que l’on rend aux compagnies aériennes, sur l’analyse de leurs données de détection et de déviation par rapport aux standards opérationnels, à des fins de sécurité aérienne.

Si vous n’avez pas peur d’être ambitieux venez consulter nos postes ouverts




NordVPN à -68% + 3 mois offert pour le Black Friday !

— Article sponsorisé par NordVPN —

Vous connaissez déjà tous NordVPN, que ce soit via leur sponsoring sur YouTube ou des sites Tech, dont le mien, puisque je vous ai déjà présenté le service plusieurs fois. Leurs offres sont généralement très intéressantes et c’est encore le cas pour célébrer le Black Friday 2020. Non seulement vous bénéficierez d’une remise de 68% sur l’abonnement 2 ans (plus des 2/3 du prix), mais en plus vous recevrez 3 mois gratuits.

Si vous n’avez pas encore de VPN installé sur votre ordinateur ou votre mobile, c’est peut-être le moment de franchir le pas sans avoir à débourser trop.

Nord VPN Offre Black Friday 2020

Pour ceux qui n’auraient pas lu mes autres articles sur le sujet, sachez que NordVPN est l’une des meilleures solutions du marché actuellement. Disposant d’une très grande rapidité (plus de 5500 serveurs dans le monde), d’une grande flexibilité (dispo sur toutes les plateformes desktop et mobiles en français), d’un tarif abordable et d’une grande facilité d’utilisation il est adapté à n’importe quel type de profil.

Que vous ayez besoin d’un VPN pour sécuriser votre surf, contourner une censure ou tout simplement accéder au catalogue Netflix, Amazon Prime, Disney+ & co … il fera le travail. Et surtout il le fera de manière proactive (en évitant au mieux les bans d’adresses IPs des plateformes de streaming) et sécurisée (chiffrement des données, double IP, serveurs P2P, réseau Onion … trop de choses pour tout citer, mais vous pouvez tout consulter sur leur site).

Les fonctionnalités Nord VPN

A noter aussi qu’en ce moment il est possible d’ajouter 2 services supplémentaires à cette offre de base.

Le premier c’est le gestionnaire de mots de passe maison, NordPass, qui vous permet de mémoriser et gérer vos mots de passe de manière sécurisée. Vous économiserez 71% sur le prix habituellement proposé. Le second est un service de cloud sécurisé, NordLocker, et là c’est pas moins de 81% d’économies que vous ferez. Ils font partie du groupe NordSec, une suite sécurité.

Au total pour 3,15 € avec 3 mois gratuits, vous aurez un des meilleurs VPN du marché. C’est l’idéal pour tester NordVPN en conditions réelles et voir s’il vous convient.

Encore merci à NordVPN de supporter korben.info en cette période !


Travailler dans un groupe d’aéronautique ?

Découvrez les offres d’emploi et de stages de Safran dans la data, le digital, le logiciel et les systèmes d’information

Machine Learning, technologie 3D, systèmes de communication ou encore robotique, vous serez amenés à travailler sur différents projets innovants dans une entreprise qui vous laissera entièrement libre de proposer vos idées et qui vous accompagnera dans vos projets.

Vous pourrez peut être travailler sur notre projet Cassiopée : il s’agit du service que l’on rend aux compagnies aériennes, sur l’analyse de leurs données de détection et de déviation par rapport aux standards opérationnels, à des fins de sécurité aérienne.

Si vous n’avez pas peur d’être ambitieux venez consulter nos postes ouverts



Réponses notables

  1. Avatar for yuch yuch says:

    Hello,

    Pour info, il n’y a pas de contrôle commande informatisé dans les centrales nucléaires (du moins sur les équipements important pour la sureté) . Tout est géré par relayage, ou par des technos limite “steampunk”.

    Donc, non, pas de risque sur les centrales nucléaires actuelles (à part le réseau bureautique…).

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants