Irongate: le nouveau malware qui menace les sites industriels

Il y a quelques mois, en fouillant dans la base de logiciels VirusTotal, les chercheurs en sécurité de FireEye ont mis la main sur un échantillon de code bien étrange, faisant référence à des systèmes industriels SCADA. Après une analyse en profondeur, c’est la surprise. Le logiciel, baptisé Irongate, est non seulement malveillant, mais en plus son mode opératoire ressemble en partie à celui de Stuxnet, le célèbre ver qui a attaqué les installations nucléaires iraniennes de Natanz en 2010. Comme lui, Irongate cible l’ordinateur d’un opérateur de système industriel de marque Siemens. Mais pas n’importe lequel. Une fois installé dans le système, il va se mettre à la recherche d’un fichier DLL lié à un processus industriel bien précis. Il s’agit donc d’une attaque ultraciblée.

A l'instar de Stuxnet, Irongate dispose également de capacités d’autodéfense. Il détecte la présence de certains environnements d’analyse de sécurité et, le cas échéant, va faire le mort pour ne pas éveiller de soupçons. Pendant l’attaque, il va masquer ses actions vis-à-vis de l’opérateur en rejouant des séquences enregistrées sur les écrans de contrôle. Un procédé similaire avait été employé par le ver de Natanz.

Il s'agit probablement d'une version de test

Mais les analogies s’arrêtent là. Irongate est loin d’être aussi complexe que Stuxnet. Par ailleurs, il ne peut fonctionner que dans un environnement de simulation (PLCSIM) utilisé par les industriels pour tester un système avant son déploiement réel. En d’autres termes, Irongate ne pouvait pas attaquer de réelle infrastructure.

Selon FireEye, ce malware devait donc être "un test, une preuve de concept ou le résultat d’une activité de recherche", souligne les chercheurs dans leur note de blog. Il n’y a pas lieu d’être soulagé pour autant, car cela peut signifier que Stuxnet et ses techniques diaboliques sont en train de faire des émules. Les cyberattaques industrielles ne sont donc pas prêtes d'être finies.