Industroyer / CrashOverride
Qu'est-ce que Industroyer / CrashOverride ?
Industroyer / CrashOverrideLogiciel malveillant ICS modulaire utilisé contre le réseau électrique ukrainien en 2016 et réapparu sous le nom Industroyer2 en 2022, capable de parler les protocoles natifs du réseau.
Industroyer (aussi appelé CrashOverride) est un framework ICS modulaire utilisé pour la première fois en décembre 2016 contre un poste de transport à Kiev, provoquant une coupure d'environ une heure. À la différence d'attaques antérieures, Industroyer implémentait directement IEC 60870-5-101, IEC 60870-5-104, IEC 61850 et OPC DA, ainsi qu'un module de déni de service ciblant Siemens SIPROTEC, ce qui lui permettait d'envoyer des commandes natives à des RTU, IED et relais de protection. ESET, Dragos et plusieurs gouvernements occidentaux attribuent Industroyer au groupe Sandworm du GRU russe. Un successeur, Industroyer2, a été découvert en avril 2022 lors d'une tentative d'attaque contre un opérateur d'énergie ukrainien. Le framework démontre que des adversaires peuvent construire un outillage ICS réutilisable, conscient des protocoles.
● Exemples
- 01
Envoi de commandes IEC 60870-5-104 pour ouvrir des disjoncteurs dans un poste ukrainien.
- 02
Utilisation d'un module DoS contre SIPROTEC pour planter des relais de protection pendant l'attaque.
● Questions fréquentes
Qu'est-ce que Industroyer / CrashOverride ?
Logiciel malveillant ICS modulaire utilisé contre le réseau électrique ukrainien en 2016 et réapparu sous le nom Industroyer2 en 2022, capable de parler les protocoles natifs du réseau. Cette notion relève de la catégorie OT / ICS / IoT en cybersécurité.
Que signifie Industroyer / CrashOverride ?
Logiciel malveillant ICS modulaire utilisé contre le réseau électrique ukrainien en 2016 et réapparu sous le nom Industroyer2 en 2022, capable de parler les protocoles natifs du réseau.
Comment fonctionne Industroyer / CrashOverride ?
Industroyer (aussi appelé CrashOverride) est un framework ICS modulaire utilisé pour la première fois en décembre 2016 contre un poste de transport à Kiev, provoquant une coupure d'environ une heure. À la différence d'attaques antérieures, Industroyer implémentait directement IEC 60870-5-101, IEC 60870-5-104, IEC 61850 et OPC DA, ainsi qu'un module de déni de service ciblant Siemens SIPROTEC, ce qui lui permettait d'envoyer des commandes natives à des RTU, IED et relais de protection. ESET, Dragos et plusieurs gouvernements occidentaux attribuent Industroyer au groupe Sandworm du GRU russe. Un successeur, Industroyer2, a été découvert en avril 2022 lors d'une tentative d'attaque contre un opérateur d'énergie ukrainien. Le framework démontre que des adversaires peuvent construire un outillage ICS réutilisable, conscient des protocoles.
Comment se défendre contre Industroyer / CrashOverride ?
Les défenses contre Industroyer / CrashOverride combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Industroyer / CrashOverride ?
Noms alternatifs courants : CrashOverride, Industroyer2.
● Termes liés
- ot-iot№ 529
Système de contrôle industriel (ICS)
Terme générique désignant les systèmes qui automatisent et supervisent des procédés industriels : SCADA, DCS, PLC, RTU et systèmes de sécurité.
- ot-iot№ 972
SCADA
Systèmes de télégestion et d'acquisition de données qui collectent la télémétrie d'équipements distants et permettent aux opérateurs de surveiller et de piloter de grands procédés.
- ot-iot№ 334
DNP3
Distributed Network Protocol 3, protocole ICS événementiel utilisé dans l'électricité, l'eau et le pétrole-gaz pour relier les maîtres SCADA aux stations distantes.
- ot-iot№ 1111
Stuxnet
Ver très sophistiqué dévoilé en 2010 qui a saboté les centrifugeuses iraniennes d'enrichissement d'uranium en reprogrammant des PLC Siemens, attribué aux États-Unis et à Israël.
- ot-iot№ 1174
TRITON / TRISIS
Malware découvert en 2017 ciblant les SIS Triconex de Schneider dans une usine pétrochimique saoudienne, attribué à un acteur lié à la Russie.
- ot-iot№ 762
Technologies Opérationnelles (OT)
Matériels et logiciels qui surveillent et pilotent des procédés physiques, équipements et infrastructures comme les usines, centrales électriques ou réseaux d'eau.
● Voir aussi
- № 966Sandworm Team