Une équipe de hackers chinoise surprise en train de prendre le contrôle d'une usine d'eau leurre

Un groupe de piratage chinois accusé en février d'être lié à l'armée chinoise a été surpris en décembre dernier en train d'infiltrer un système de contrôle de l'eau leurre pour une municipalité américaine, a révélé mercredi un chercheur.





Le groupe, connu sous le nom d'APT1, a été attrapé par un projet de recherche qui fournit la preuve la plus significative à ce jour que les gens essaient activement d'exploiter les vulnérabilités des systèmes de contrôle industriels. Beaucoup de ces systèmes sont connectés à Internet pour permettre l'accès à distance (voir Hacking Industrial Systems Turns Out to Be Easy ). APT1, également connu sous le nom de Comment Crew, a été attiré par un système de contrôle factice mis en place par Kyle Wilhoit, un chercheur d'une société de sécurité. Trend Micro , qui a donné une conférence sur ses découvertes au Conférence Black Hat à Las Vegas.

L'attaque a commencé en décembre 2012, dit Wilhoit, lorsqu'un document Word cachant un logiciel malveillant a été utilisé pour obtenir un accès complet à son système de leurre basé aux États-Unis, ou pot de miel. Le logiciel malveillant utilisé et d'autres caractéristiques étaient propres à APT1, que la société de sécurité Mandant a affirmé opérer dans le cadre de l'armée chinoise (voir Exposé of Chinese Data Thieves Reveals Sloppy Tactics ).

On pourrait penser que Comment Crew ne viendrait pas après une autorité locale des eaux, a déclaré Wilhoit Examen de la technologie du MIT , mais le groupe n'a clairement pas attaqué le pot de miel par accident alors qu'il cherchait une autre cible. En fait, j'ai observé l'interface de l'attaquant avec la machine, dit Wilhoit. Il était clair à 100% qu'ils savaient ce qu'ils faisaient.



Wilhoit a poursuivi en montrant des preuves que d'autres groupes de piratage en plus d'APT1 recherchent et compromettent intentionnellement les systèmes d'usines d'eau. Entre mars et juin de cette année, 12 pots de miel déployés dans huit pays différents ont attiré 74 attaques intentionnelles, dont 10 étaient suffisamment sophistiquées pour arracher le contrôle complet du système de contrôle factice.

Un logiciel cloud a été utilisé pour créer des écrans de connexion et de configuration Web réalistes pour les usines d'eau locales apparemment basées en Irlande, en Russie, à Singapour, en Chine, au Japon, en Australie, au Brésil et aux États-Unis. panneaux de commande et systèmes de commande du matériel de systèmes d'installations hydrauliques.

Aucune des attaques n'a affiché un niveau de sophistication particulièrement élevé, dit Wilhoit, mais les attaquants étaient clairement bien familiarisés avec le fonctionnement trop facilement compromis des systèmes de contrôle industriels. Quatre des attaques ont montré un haut niveau de connaissance des systèmes industriels, utilisant des techniques pour s'ingérer dans un protocole de communication spécifique utilisé pour contrôler le matériel industriel.



Wilhoit a utilisé un outil appelé Browser Exploitation Framework, ou BeEF, pour accéder aux systèmes de ses attaquants et obtenir des données précises sur leur emplacement. Il a pu accéder aux données de leurs cartes Wi-Fi pour trianguler leur emplacement.

Les 74 attaques contre les pots de miel provenaient de 16 pays différents. La plupart des attaques non critiques, 67 %, provenaient de Russie et une poignée des États-Unis. Environ la moitié des attaques critiques provenaient de Chine et le reste d'Allemagne, du Royaume-Uni, de France, de Palestine et du Japon.

Les résultats amènent Wilhoit à conclure que les usines de traitement de l'eau et probablement d'autres installations dans le monde sont compromises et contrôlées avec succès par des attaquants extérieurs, même si aucune attaque majeure n'a été organisée. Ces attaques se produisent et les ingénieurs ne le savent probablement pas, a-t-il déclaré Examen de la technologie du MIT .



Wilhoit avait précédemment publié la première recherche prouvant que certaines personnes exploraient activement Internet dans l'intention de compromettre les systèmes de contrôle industriels (voir Honeypots Lure Industrial Hackers Into the Open ). Il prévoit maintenant de placer des pots de miel à l'intérieur de véritables installations industrielles pour tenter de capturer les détails des attaques ciblées.

Joe Weiss, associé directeur chezSolutions de contrôle appliquéet un expert en sécurité des systèmes de contrôle industriel, a déclaré Examen de la technologie du MIT qu'il espérait que les découvertes de Wilhoit pourraient convaincre les propriétaires et les opérateurs de systèmes de contrôle industriels de prendre la menace d'attaques plus au sérieux. La communauté doit savoir que des personnes ciblent explicitement ces systèmes, a déclaré Weiss. J'espère que les gens peuvent comprendre à quel point c'est valable et réel, ce qu'il trouve.

cacher