Des chercheurs américains établissent un lien entre une cyberattaque et une usine pétrochimique saoudienne en Russie

Dans un article de blog, FireEye a déclaré qu'un piratage ayant conduit au déploiement du logiciel malveillant, appelé Triton, était soutenu par l'Institut central de recherches scientifiques en chimie et mécanique, décrit comme une institution appartenant au gouvernement et située à Moscou. Il a associé les tests du logiciel malveillant Triton à un groupe de piratage russe présumé baptisé TEMP.Veles et directement à un professeur spécifique, mais non nommé, de l'institut.

Le système d'arrêt de sécurité affecté à l'usine pétrochimique saoudienne était considéré comme essentiel pour se défendre contre des événements catastrophiques.

"Ce qui semble être clair ici, c'est que le gouvernement russe a une forte influence derrière tout cela et qu'il a été fortement impliqué", a déclaré John Hultquist, directeur des services de renseignement chez FireEye. "Cela confirme l'inquiétude que les Russes puissent s'introduire dans les systèmes de sécurité, qui sont sorte de dernière ligne de défense pour beaucoup de ces installations. "

L’ambassade de Russie aux États-Unis n’a pas immédiatement répondu à une demande de commentaire. Auparavant, Moscou avait nié avoir ciblé les infrastructures critiques, bien que deux cyberattaques en Ukraine en 2015 et 2016 aient été largement imputées, ce qui a provoqué des pannes d'électricité à grande échelle. Les responsables saoudiens n'ont pas répondu à une demande de commentaire.

FireEye était très confiant dans son attribution à l'institut de recherche russe, a déclaré M. Hultquist. Il a toutefois ajouté qu'il était possible que le groupe vende ou prête ses logiciels malveillants à d'autres pays, ou que les employés de l'institut aient pu mener des opérations sans autorisation.

La société de recherche sur la cybersécurité a déclaré qu'elle avait rendu publique autant d'informations que possible pour expliquer sa conclusion, y compris des comportements conformes aux heures de travail dans le fuseau horaire de Moscou, mais qu'elle devait dissimuler certaines informations sensibles étayant son analyse.

FireEye a refusé de nommer la victime de l'attaque, mais d'autres experts, notamment des chercheurs de la firme cyber, Dragos Inc., ont déjà déclaré qu'un établissement en Arabie Saoudite faisait partie des victimes ciblées par Triton.

L'attaque Triton, révélée pour la première fois par des entreprises de cybersécurité en décembre dernier, était considérée comme sans précédent, considérée comme le premier cas de piratage informatique portant atteinte au système de sécurité d'une usine. Les experts ont déclaré que cela pourrait potentiellement marquer le début d'une nouvelle phase d'attaques contre les ordinateurs des systèmes de contrôle utilisés pour gérer les planchers d'usine, les usines de produits chimiques et les services publics.

Schneider Electric
,

Une multinationale française qui fabriquait le système d’arrêt d’urgence ciblé – appelée Triconix – a mené une analyse supplémentaire en janvier qui a révélé que Triton était capable de manipuler la mémoire des périphériques Schneider et d’exécuter des programmes non autorisés sur le système en exploitant un bogue inconnu jusqu'alors.

Certains experts en cybersécurité ont déclaré que les pirates informatiques à l'origine du programme malveillant Triton restaient une menace active pour les entreprises du monde entier.

"Ils sont actifs dans le monde entier, toujours concentrés sur les infrastructures critiques et représentent toujours un danger réel pour les vies innocentes et leur environnement en affectant la sécurité des systèmes de contrôle", a déclaré Sergio Caltagirone, directeur des renseignements sur les menaces à Dragos. t publiquement lié l'attaque à la Russie.

—Robert McMillan a contribué à cet article.

Écrire à Dustin Volz à [email protected]