Havex Caesar

Posté par : Maxime de Jabrun || 10 juillet 2014 à 18:27

SCADA, ICS, OPC, PLC1 tant d’acronymes incompréhensibles pour les non-initiés. Mais quel rapport ont-ils entre eux ?

Réponse : Ces acronymes sont tous liés au secteur industriel, plus précisément aux systèmes de contrôles industriels.

Pourquoi vous parle-t’on du secteur industriel ? Parce que comme une cité romaine impénétrable l’industrie est longtemps restée à l’écart des problèmes de sécurité liés au virus, trojan ou malware. Cependant toutes les périodes de gloire ont une fin et la découverte récente d’un malware nommé Havex en témoigne.

 

A l’instar du cheval de Troie (celui d’Ulysse et Epéios), le malware Havex brise les remparts des systèmes industriels en infectant directement les sites web des fournisseurs d’équipements de contrôle industriel. En effet des chercheurs en sécurité ont trouvé plusieurs traces du fichier mbcheck.dll (ndlr le malware Havex) directement dans les mises à jour logicielles des équipements sur les sites internet, non sécurisé, de certains fournisseurs. Cette méthode d’infection est particulièrement astucieuse, car sans le savoir les industriels compromettent leur système avec un logiciel provenant d’une « source de confiance ». Cela n’est pas sans rappeler un évènement des années 2000 où un virus connu sous le nom de « Tchernobyl » avait réussi à se retrouver livré préinstallé dans des PC.

 

Une fois les remparts franchis, grâce à l’installation du logiciel vérolé, Havex agit comme un « RAT » : Remote Access Trojan. Il offre ainsi aux hackeurs une porte d’entrée (ndlr un port de communication resté ouvert) dans le réseau infecté permettant la prise de contrôle à distance du poste. Par la suite, il établit une communication avec un serveur de contrôle et de commande (C&C) qui peut également transmettre au poste infecté de nouveaux fichiers ajoutant des fonctionnalités au malware. L’une de ses principales fonctionnalités est de scanner le réseau sur lequel évolue Havex et d’identifier les équipements qui répondent aux requêtes du « protocole » OPC1 (ndlr c’est une technique de communication majoritairement utilisé en milieu industriel pour son interopérabilité).

Havex récupère ainsi les informations (le nom du revendeur, la version du matériel, le statut, les identifiants, …) sur les équipements de contrôle industriel. Finalement, toutes ces informations sont stockées, chiffrées et envoyés au serveur C&C distant pour une analyse ultérieure par les hackeurs.

Plus...

Tags : , , , , ,

Catégorie(s) : Veille

Les blogueurs

C'est à l'occasion de notre première participation aux Assises de la Sécurité que nous avons eu envie de créer un espace ouvert aux professionnels qui partagent nos centres d'intérêt.

Un espace d'échanges donc qui nous donne le loisir d'exprimer nos points de vue sur les problématiques Risque et Sécurité mais surtout - et nous l'espérons - de recueillir vos avis éclairés.

Twitter