Le réseau indien de centrales nucléaires a été piraté, les responsables confirment
La Société indienne d’énergie nucléaire limitée (NPCIL) a reconnu aujourd’hui que des programmes malveillants attribués à d’autres acteurs étatiques en Corée du Nord avaient été découverts dans le réseau administratif de la centrale nucléaire de Kudankulam (KKNPP). Cette admission intervient un jour après que la société eut nié que toute attaque affecterait les systèmes de contrôle de l'usine.
Cela coïncide avec la date à laquelle l'analyste des menaces Pukhraj Singh a déclaré avoir rapporté des informations sur l'infraction au responsable de la cybersécurité en Inde.
"La question a immédiatement été examinée par des spécialistes (du Département de l'énergie atomique de l'Inde)", a déclaré Nema dans un communiqué. "L'enquête a révélé que le PC infecté appartenait à un utilisateur connecté au réseau connecté à Internet utilisé à des fins administratives. Il est isolé du réseau interne critique. Les réseaux sont surveillés en permanence."
Lazare à la maison
Il n'est pas clair si les données ont été volées du réseau KKNPP. Mais la centrale nucléaire n'était pas la seule installation qui, selon Singh, avait été compromise. Quand Ars lui a demandé pourquoi il avait qualifié l'attaque de malware de "casus belli", un acte de guerre, Singh, ancien analyste de la National Technical Research Organization (NTRO) de l'Inde, a déclaré: "C'était pour le second objectif, que Je ne peux pas divulguer à partir de maintenant. "
Le logiciel malveillant en question, appelé Dtrack par la société russe de protection contre les logiciels malveillants Kaspersky, a été utilisé dans de nombreuses attaques contre des centres financiers et des centres de recherche, selon les données de Kaspersky recueillies auprès de plus de 180 échantillons de logiciels malveillants. Dtrack partage des éléments de code provenant d’autres logiciels malveillants attribués au groupe de menaces Lazarus, qui, selon les accusations du ministère américain de la Justice, est une opération de piratage parrainée par l’État de la Corée du Nord. Une autre version du logiciel malveillant, ATMDtrack, a été utilisée pour voler des données sur des réseaux ATM en Inde.
DTrack semble être un outil d’espionnage et de reconnaissance, qui collecte des données sur des systèmes infectés et est capable d’enregistrer des frappes au clavier, d’analyser les réseaux connectés et de surveiller les processus actifs sur des ordinateurs infectés. Le malware a peut-être été distribué par un "implant de mémoire", a déclaré Singh, bien qu'il ait ajouté qu'il attendait une confirmation d'autres sources. Il a ajouté qu'il n'avait pas vu de données indiquant si les données avaient été volées sur le réseau KKNPP. "Je n'avais pas les indicateurs complets", a déclaré Singh.
L’attaque n’a peut-être pas permis un accès direct aux réseaux de contrôle de l’énergie nucléaire, mais elle aurait pu faire partie d’un effort visant à établir une présence persistante dans les réseaux de la centrale nucléaire. Comme un document publié en mai par le Comité international de la Croix-Rouge sur le coût humain des cyber-opérations "La plupart des appareils informatiques dans le monde ne sont qu'à un ou deux pas d'un système fiable qu'un attaquant particulier pourrait compromettre." Lukasz Olejnik, chercheur en sécurité et co-auteur de l'article, a noté que "Un engagement préventif envers des systèmes fiables faciliterait considérablement les attaques", et établir une présence persistante sur un réseau pourrait aider, entre autres, aux attaques de la chaîne logistique: tentatives d'utilisation de processus de mise à jour de logiciels ou autres opportunités potentielles de réussite. réseaux isolés pour livrer une attaque dans le futur.
Cela ressemble à la route démontrée par Stuxnet, le malware attribué aux services de renseignement américains et israéliens qui ont réussi à sauter un "espace aérien" dans les contrôles de l'équipe iranienne d'enrichissement nucléaire. Bien que le réseau administratif de KKNPP ne soit probablement pas une bonne voie pour une telle attaque, étant donné les normes de sécurité des systèmes de contrôle nucléaire, il pourrait certainement fournir des informations sur les opérations de maintenance qui pourraient être utiles pour l'espionnage ou pour une tentative future. de cyberattaque.