Détection de Pipedream/INCONTROLLER : Nouveau cadre d’attaque et outils ciblant les systèmes de contrôle industriel
Table des matières :
Les agences gouvernementales américaines – CISA, FBI, NSA et le Département de l’Énergie – ainsi que plusieurs équipes d’entreprises de chercheurs en cybersécurité ont tiré la sonnette d’alarme concernant les menaces nationales pour les systèmes de contrôle industriel (ICS). Selon les enquêteurs en sécurité, les acteurs APT exploitent un ensemble d’outils destructeurs pour prendre le contrôle de machines ciblées après avoir établi un accès initial au réseau de technologie opérationnelle (OT). Ces attaques ont le potentiel de saboter et de détruire les processus établis et de mener à des compromis physiques.
Les chercheurs établissent un lien entre le malware INCONTROLLER et Pipedream, spécifique aux ICS, et des acteurs de menace liés à la Russie.
Détection de Malware ICS Pipedream/INCONTROLLER
Pour une détection sans effort de Malware ICS Pipedream/INCONTROLLER, utilisez le contenu de détection des menaces suivant publié par un expert en sécurité chevronné Sittikorn Sangrattanapitak. La règle basée sur Sigma détecte les noms de fichiers suspects associés à l’exploitation des pilotes de cartes mères ASRock – CVE-2020-15368. Elle est créée par le cadre d’attaque parrainé par l’État INCONTROLLER développé pour cibler les ICS qui exploitent des systèmes basés sur Windows dans des environnements de technologie de l’information ou de technologie opérationnelle (TO) :
Cette détection est disponible pour les 22 plateformes SIEM, EDR & XDR, alignée avec le dernier cadre MITRE ATT&CK® v.10, traitant la tactique d’exécution initiale avec l’exécution par l’utilisateur (T1204) comme technique principale.
Suivez les mises à jour du contenu de détection lié à INCONTROLLER dans le dépôt du Marché de Détection des Menaces de la plateforme SOC Prime ici. La bibliothèque de contenu de détection SOC Prime est constamment mise à jour avec de nouveaux contenus, soutenue par l’approche collaborative de la défense cybernétique et activée par le modèle Follow the Sun (FTS) pour garantir une livraison rapide des détections pour les menaces critiques.
Désireux de traquer les dernières menaces, d’automatiser l’investigation des menaces, et de recevoir des retours et des vérifications par 20 000+ membres de la communauté de professionnels de la sécurité ? Rejoignez SOC Prime, la première plateforme mondiale pour la défense cybernétique collaborative, la chasse et la découverte de menaces qui s’intègre à plus de 25 plateformes SIEM, EDR, XDR. Ambitions élevées en cybersécurité ? Rejoignez notre programme Threat Bounty, développez vos propres règles Sigma, et recevez des récompenses récurrentes pour votre précieuse contribution !
Voir les Détections Rejoindre Threat Bounty
Analyse de Malware ICS Pipedream/INCONTROLLER
Un Conseil en Cybersécurité conjoint de la CISA, FBI, NSA et du Département de l’Énergie des États-Unis publié le 13 avril 2022, détaille plusieurs attaques spécifiques aux ICS ainsi que les tentatives des acteurs APT pour prendre le contrôle d’appareils de supervision et d’acquisition de données (SCADA), tels que les automates programmables commercialisés par Schneider Electric et OMRON (appareils Sysmac NJ et NX), ainsi que le ciblage des serveurs Open Platform Communications Unified Architecture (OPC UA).
La société de cybersécurité Dragos a publié sa déclaration concernant les attaques en question, faisant référence au malware utilisé comme Pipedream (qui est retracé jusqu’à un APT Chernovite), tandis que Mandiant s’est concentré sur l’ensemble d’outils baptisé INCONTROLLER. Le Malware ICS Pipedream/INCONTROLLER permet aux adversaires de scanner les appareils ICS et SCADA et d’acquérir un contrôle total des machines affectées une fois l’accès initial au réseau de technologie opérationnelle (OT) obtenu avec succès. De plus, les composants du cadre d’attaque permettent l’exploitation d’une faille dans le pilote ASRock RGB, répertorié CVE-2020-15368 (voir la règle basée sur Sigma ci-dessus). INCONTROLLER lui-même est une composition de trois outils ICS de capacités différentes : TAGRUN, CODECALL, et OMSHELL. Les composants INCONTROLLER susmentionnés sont utilisés à divers stades d’une attaque.
Les scénarios d’attaque d’INCONTROLLER suggèrent une comparabilité avec les souches de malware Triton, Student et Industroyer. Les chercheurs avertissent qu’à la lumière des événements actuels, c’est-à-dire l’invasion russe de l’Ukraine, les malwares INCONTROLLER et Pipedream ont une capacité alarmante de mettre en péril de nombreuses infrastructures critiques en sabotant les processus industriels de l’Ukraine et d’autres pays qui s’opposent à l’agression russe. Par exemple, le dernier échantillon de la famille notoire du malware Industroyer étiqueté Industroyer2, a récemment fait la une des journaux, avec le groupe APT Sandworm derrière l’attaque paralysant le réseau électrique ukrainien.
Les chercheurs soulignent que la plupart des appareils touchés par INCONTROLLER sont intégrés à des machines automatisées et constituent souvent une partie discrète des opérations industrielles. L’étendue complète des conséquences reste à découvrir.
En temps difficiles, faites confiance à des outils et ressources éprouvés pour assurer que votre système ne soit pas une proie facile pour les cybercriminels. Faites front commun avec SOC Prime pour un avenir plus sûr. Inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime pour optimiser vos opérations SOC avec les meilleures pratiques et une expertise partagée.
