L’éditeur de sécurité américain Symantec vient de révéler qu’un espionnage massif a été mené contre des entreprises du secteur de l’énergie, en Europe et notamment en France.
La plupart des entreprises visées se trouvent aux Etats-Unis, en Espagne, En France, en Italie, en Turquie et en Pologne, indique l’éditeur. Il s’agit de producteurs d’électricité, d’opérateurs de réseaux électriques, d’oléoducs et de leurs fournisseurs en équipements industriels.
Le groupe d’attaquants, dénommé Dragonfly par l’ éditeur (et aussi connu sous le nom Energetic Bear), a mené depuis au moins 2011 des attaques particulièrement sophistiquées à des fins d’espionnage, qui auraient pu conduire à des opérations de sabotage.
L’éditeur de sécurité soutient que le groupe, en raison des ressources particulièrement vastes dont il dispose, et des modalités d’attaque, est financé par un état qu’il soupçonne être d’Europe de l’Est. Symantec indique que Dragonfly a utilisé plusieurs vecteurs d’attaques et types de malwares, et qu’il a par ailleurs ciblé en particulier les fournisseurs des grandes entreprises visées, qui semblaient être moins protégés que leurs clients.
Des attaques multiples
Drafonfly ne s’est pas contenté d’attaqué le système de contrôle des systèmes industriels, il a aussi mené des campagnes de spam et des attaques de type « watering hole » (trou d’eau), cette technique consistant à compromettre les sites Internet fréquentés par les personnes visées du secteur.Le groupe a utilisé deux principaux malwares : Backdoor Oldrea et trojan Karagany.
Stuxnet a été la première grande campagne de virus connue ciblant les systèmes industriels. Mais alors que Stuxnet avait pour principal objectif le sabotage du programme iranien nucléaire, Dragonfly semble se concentrer, lui, sur l’espionnage et l’obtention d’un accès permanent aux systèmes critiques.