On en sait plus sur Triton, le malware tueur

Ce virus, qui pourrait provoquer catastrophes industrielles et morts en masse, se dévoile peu à peu.

Il y a quelques mois, les observateurs du monde de la cybersécurité comme les simples quidams moins calés en dangers informatiques furent pour le moins inquiets en découvrant Triton, également appelé Trisis, un ensemble viral prenant pour cible des installations industrielles «sensibles».

Comprendre usines chimiques ou pétrochimiques, unités de retraitement de l’eau, centrales électriques –plus généralement, tout ce qui est susceptible d’exploser en faisant de très gros dégâts, matériels mais surtout humains.

Les hackers responsables de cette chose clairement conçue pour tuerœuvrent ainsi longuement dans l’ombre pour installer des petites pestes informatiques destinées à désarmer les systèmes de protection des installations, avant éventuellement de porter le coup de grâce en provoquant une catastrophe majeure que plus rien ne peut alors arrêter.

Seule l’une des cibles a pour l’instant été dévoilée, d’abord anonymement puis nommée par une enquête longue et terrifiante publiée sur E&E News. Il s’agissait du complexe pétrochimique Petro Rabigh, en Arabie saoudite: comme une menace de bien pire, l’attaque s’était arrêtée après deux dysfonctionnements mais n’était pas allée jusqu’à déclencher les explosions ou rejets toxiques létaux qui n’étaient peut-être qu’à portée de clic.

Une seconde victime déclarée

On savait que Triton ne s’était pas arrêté aux frontières de l’Arabie saoudite et que la menace planait sur d’autres installations, en Europe ou en Amérique du Nord notamment. Mais l’anxiété vaporeuse s’est concrétisée: la société de cybersécurité FireEye a expliqué le 11 avril, à l’occasion d’un sommet organisé par Kapersky à Singapour, avoir été embauchée en 2018 par une autre usine victime, qu’elle n’a pas nommée pour d’évidentes raisons de confidentialité.

Si FireEye reste discret sur ce second cas, sur les dégâts subis ou potentiels, l’entreprise a pris la liberté de révéler une partie des stratégies qu’adopte le collectif de hackers pour ses attaques, manière de donner quelques pistes de recherche aux structures qui pourraient penser leurs propres systèmes visés. «Nous présentons notre méthodologie au monde pour que tous et toutes puissent détecter cet acteur, que nous prenons très au sérieux», a ainsi exposé le chef de la recherche de FireEye, John Hultquist.

Supposément russes et liées au Kremlin, œuvrant selon l’entreprise depuis 2014 et ayant donc pu poser ses bombes informatiques à retardement dans de multiples installations, les personnes derrière Triton prennent leur temps, parfois des mois, pour infester leurs cibles et créent à chaque fois des outils propres à chaque attaque.

Du temps et du sur-mesure

Pour faire pénétrer Triton au cœur des systèmes qu’il cherche à infester, le groupe crée des versions sur mesure de malwares ou virus communément utilisés dans la communauté du hacking et conçus pour faire tomber les barrières de sécurité, chiper des mots de passe dans la mémoire des systèmes, prendre le contrôle d’ordinateurs à distance ou créer des portes dérobées leur permettant de conserver les accès ainsi ouverts.

Ce simili-custom est une force pour le groupe, dont les malwares peuvent rester invisibles pendant des mois dans un système infecté –ce fut le cas dans les deux opérations que FireEye a pu analyser. C’est aussi, pour eux, une potentielle faiblesse: s’ils ont sans doute déjà modifié leurs méthodes, les révélations de FireEye donnent quelques pistes de recherche à quiconque voudrait retrouver des traces d’une infection.

Les motivations du groupe responsable de Triton restent en revanche incertaines. Cherche-t-il réellement à provoquer, à un horizon incertain, une catastrophe industrielle de grande ampleur? Ou s’entraîne-t-il à le faire en cas de cyberguerre déclarée? La connexion russe est-elle réelle? Des rançons ont-elles ou seront-elles demandées aux entreprises infestées ou aux États visés? Le nombre d’installations concernées est-il beaucoup plus important que nous le pensons à l’heure actuelle? Peut-être préférons-nous ne jamais avoir à répondre à ces questions.

Source: Korii

Publicités

Commenter cet article

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.