Le réseau de l’une des centrales nucléaires indienne a été infecté par des logiciels malveillants créés par des pirates informatiques parrainés par l’État nord-coréen, a confirmé Nuclear Power Corporation of India Ltd (NPCIL).
La nouvelle selon laquelle la centrale nucléaire de Kudankulam (KNPP) aurait pu être infectée par une souche dangereuse de logiciels malveillants avait fait son apparition sur Twitter lundi dernier.
Les logiciels malveillants retrouvés dans le réseau informatique de la centrale comprennent des informations d’identification du réseau interne de la centrale, ce qui suggère que le malware a été spécifiquement compilé pour se propager et fonctionner dans le réseau informatique de la centrale.
Des logiciels malveillants liés au groupe nord-coréen Lazarus
Plusieurs chercheurs en sécurité ont identifié le malware comme une version de Dtrack, un cheval de Troie développé par le groupe Lazarus. Le tweet est devenu viral parce que quelques jours auparavant, la même centrale avait subi un arrêt inattendu de l’un de ses réacteurs.
Au départ, les responsables de la centrale ont nié avoir été infectés par des logiciels malveillants, en publiant une déclaration décrivant les tweets comme de “fausses informations” et qu’une cyber-attaque contre la centrale n’était “pas possible”.
Mais depuis la société qui opère la centrale a admis l’attaque. “L’identification des logiciels malveillants dans le système NPCIL est correcte” a dit un porte parole.
Le réseaux administratif touché
La société a déclaré que le malware n’a infecté que son réseau administratif, et n’a pas atteint son réseau interne critique, celui utilisé pour contrôler les réacteurs nucléaires de la centrale. Les deux réseaux sont séparés indique la société. De plus, la société a confirmé avoir reçu une notification du CERT indien le 4 septembre, lorsque le malware a été repéré pour la première fois.
Selon une analyse du logiciel malveillant Dtrack par Kaspersky, ce cheval de Troie inclut des fonctionnalités pour faire du keylogging, récupérer l’historique de navigateur Internet, collecter des adresses IP et des informations sur les réseaux disponibles et les connexions actives, lister tous les processus en cours d’exécution et lister tous les fichiers sur tous les volumes de disque disponibles.
Comme le montrent ses caractéristiques, Dtrack est généralement utilisé à des fins de reconnaissance sur les réseaux. Les précédents échantillons de Dtrack ont été repérés lors d’opérations de cyberespionnage motivées par des considérations politiques et lors d’attaques contre des banques. Une version personnalisée de Dtrack, appelée AMTDtrack, a également été découverte le mois dernier.
Une première dans le domaine de l’énergie
Historiquement, le groupe Lazarus s’est rarement attaqué à des cibles dans le secteur énergétique et industriel. Les attaques portaient jusqu’alors sur de la propriété intellectuelle.
La plupart des actes de piratage informatique en provenance de Corée du Nord se sont jusqu’alors concentrés sur les relations diplomatiques, la traque de transfuges nord-coréens, ou le piratage de banques et d’échanges de devises cryptographiques pour collecter des fonds pour le régime de Pyongyang.
L’incident sur cette centrlae indienne ressemble davantage à une infection accidentelle qu’à une opération bien planifiée. Kaspersky a rapporté que le mois dernier le groupe Lazarus avait été repéré lors d’une campagne de diffusion de versions Dtrack et AMDtrack en Inde, ciblant son secteur financier.
Article “Confirmed: North Korean malware found on Indian nuclear plant’s network” traduit et adapté par ZDNet.fr
Comments