Une nouvelle campagne de malwares menace les entreprises de fabrication. Cette cyberattaque repose sur une version modifiée du malware Lemon_Duck, spécialement conçue pour infecter les appareils IoT sur les sites de manufacture…
Partout dans le monde, les fabricants utilisant des équipements IoT sont menacés par une nouvelle campagne de malware. Celle-ci exploite les failles des appareils connectés tels que les imprimantes intelligentes ou les machines industrielles IIoT.
Le malware a été détecté pour la première fois en octobre 2019, par les chercheurs de TrapX. Les premières victimes sont des fabricants basés en Amérique latine.
Depuis lors, le malware a continué à s'étendre et la campagne a atteint son pic en décembre 2019. La croissance se poursuit toutefois depuis le début de l'année en Amérique du Nord, en Afrique et en Moyen-Orient selon le CEO de TrapX, Ori Bach.
Cette cyberattaque repose sur un téléchargeur capable de se répandre automatiquement. Il exécute des scripts malveillants dérivés du malware Lemon_Duck PowerShell. Ce malware est à l'origine un cryptominer, mais a été customisé. Des vulnérabilités inhérentes aux appareils connectés sous Windows 7 sont exploitées.
Les sites de fabrication sont spécifiquement pris pour cible. Or, des appareils infectés sur ces sites représentent non seulement un risque de perte de données, mais aussi une perturbation de la chaîne logistique et un risque pour la sécurité des employés.
Différentes méthodes sont utilisées pour infiltrer les sites de manufacture, mais deux principaux vecteurs sont utilisés. Le premier est l'email de phishing classique. Si une première cible mord à l'hameçon, l'intrus peut utiliser divers outils tels que des vulnérabilités de protocoles ou des mots de passe faibles pour répandre le malware dans une entreprise.
La seconde méthode employée est celle de l'infection de la chaîne logistique. En compromettant directement l'entreprise qui fabrique les appareils connectés, ces derniers peuvent être livrés pré-infectés à d'autres entreprises.
Une fois connecté au réseau, l'appareil infecté pourra propager le malware aux autres équipements du réseau. Cette méthode représente 80% des infections de cette campagne selon TrapX. Pour cause, contrairement aux email de phishing, cette technique est très difficile à contrecarrer.
Le réseau est scanné pour trouver des cibles potentielles, telles que des appareils dont les services SMB (445) ou MSSQL (1433) sont ouverts. Une fois la cible détectée, de multiples threads avec plusieurs fonctionnalités sont exécutés.
Dans un premier temps, la méthode de force brute est employée pour tenter d'accéder au service en utilisant des noms d'utilisateurs et mots de passe. Le malware peut ensuite être téléchargé et propagé via SMB ou MSSQL.
Une autre fonctionnalité est l'exécution d'invoke-mimkatz via import-module afin d'obtenir des hashes NTLM. Là encore, le malware peut ensuite se propager via SMB.
En cas d'échec, Lemon_Duck utilise la vulnérabilité EternalBlue SMB pour obtenir l'accès au système et s'exécuter sur la cible comme un service. Le malware persiste par le biais de tâches programmées exécutant des scripts PowerShell.
Le malware dérivé de Lemon_Duck menace les appareils sous Windows 7
Les appareils sous Windows 7 sont tous vulnérables à cette campagne, car l'OS n'est plus mis à jour depuis le janvier 2020. Un exemple d'appareil menacé est l'imprimante/scanner DesignJet SD Pro.
Cette machine est utilisée pour imprimer des schémas techniques, et contient donc des données sensibles sur les produits du fabricant qui l'utilise. Elle fonctionne sous Windows 7, et est connectée à internet.
Il existe aussi un risque que les véhicules à guidage automatique (VGA) servant à transport des matériaux ou à effectuer des tâches dans un environnement industriel soient infectés. Ils peuvent alors menacer la sécurité des employés ou endommager les produits sur la chaîne de production.
Cette attaque représente un défi d'envergure pour les fabricants. Pour cause, les appareils qu'ils utilisent sont rarement mis à jour et peuvent être très difficiles à décontaminer. En outre, ils peuvent être réinfectés par d'autres machines sur le réseau après que le malware ait été supprimé.
Le fait que Windows 7 ne soit plus pris en charge par Microsoft représente une difficulté supplémentaire, puisque l'équipement est plus difficile à mettre à jour. Un remplacement sera souvent trop onéreux.
En guise de conseil, TrapX recommande aux entreprises d'identifier les machines utilisées dans leur environnement. Il s'agit ensuite de travailler avec chaque vendeur pour déterminer quels équipements ont besoin d'être remplacés et lesquels peuvent être mis à jour vers un nouvel OS…
- Partager l'article :
