[MALWARE] GreyEnergy : le nouveau malware qui vise le secteur énergétique

    Les infrastructures critiques sont menacées par le nouveau malware : GreyEnergy. Le concepteur de logiciels anti-virus ESET a révélé qu’un nouveau groupe de pirates surnommé “GreyEnergy” aurait pu succéder le groupe BlackEnergy APT. Les chercheurs d’ESET ont remarqué que depuis 2015, le groupe GreyEnergy vise des entreprises énergétiques et des sites dits « critiques » en Pologne et en Ukraine. Selon ces chercheurs, le groupe serait donc lié à BlackEnergy et  pourrait très bientôt mener des attaques de cyberespionnage.

Le groupe GreyEnergy mène principalement des attaques ciblées et des campagnes furtives et utilise toutes les sources possibles pour éviter d’être détecté. Ses cibles ne sont autres que des entreprises du secteur de l’énergie, notamment celles où les postes de travail des systèmes de contrôle industriel fonctionnement avec des logiciels SCADA. Les raisons d’une possible affiliation entre BE et GE résident dans le fait que les deux groupes soient modulaires et utilisent une mini porte dérobée avant d’obtenir les droits d’administration. De plus, les logiciels malveillants des deux groupes utilisent des serveurs de commande et de contrôle à distance via des relais Tor actifs. Les cibles sont similaires et touchent principalement les secteurs de l’énergie en Ukraine. Enfin, quand BE est resté inactif, GE était actif.

D’autres signes témoignent de la concordance des deux groupes comme la boîte à outils très moderne qui mise sur une furtivité avec des modules sans fichiers cryptés AES-256 uniquement poussés en cas de nécessité. Ces modules s’exécutent uniquement dans la mémoire pour entraver le processus d’analyse et de détection. GE procède comme BE par harponnage des mails et utilisent des méthodes pour compromettre les serveurs publics. La vulnérabilité des serveurs est utilisée pour accéder aux réseaux et attaquer les systèmes. Enfin, le groupe utilise des outils accessibles tels que WinExe, Nmap, Mimikatz et PsExec pour mener à bien ses activités malveillantes tout en restant sous le radar.

Le secteur énergétique est l’un des plus ciblés des cybercriminels qui voient en ces sites, des moyens de faire pression sur un gouvernement. Une attaque sur un site industriel (centrale électrique, nucléaire ou un centre pétrochimique) pourrait s’avérer fatal pour une population, tant au niveau humain qu’économique. La dernière attaque en Ukraine contre une centrale électrique en 2016 avait provoqué, par un trojan, une importante coupure d’électricité dans l’Ouest de l’Ukraine fin décembre. Une partie du pays et de la population avaient été contrainte de vivre sans électricité en plein hiver. Plus récent, l’attaque NotPetya avait touché des sites industriels ukrainiens, paralysant l’activité d’une importante partie de l’Ukraine.