OT / ICS/ Modbus TCP: From Recon to Register Manipulation / Real Incidents

Real Incidents

theory

Real Incidents

Trois cas emblématiques. Sans fournir d'éléments actionables pour reproduction.

Stuxnet (découvert 2010)

Première cyberarme documentée ciblant un système industriel. Cible : centrifugeuses d'enrichissement d'uranium à Natanz, automates Siemens S7-315/S7-417 pilotant des variateurs Vacon et Fararo Paya.

Vecteur initial : propagation par clés USB et exploitation de quatre 0-days Windows (CVE-2010-2568, CVE-2010-2729, CVE-2010-2743, CVE-2010-3338). Pivot vers WinCC/STEP7 puis injection de code dans les blocs DB890, DB8061 et FC1874.

Mode opératoire : Stuxnet modifiait subrepticement la vitesse des centrifugeuses (1064 Hz → 1410 Hz, chute à 2 Hz) tout en rejouant aux opérateurs des valeurs nominales préenregistrées.

Leçons : - Air-gap n'est pas immune (vecteur USB) - Signature de code firmware essentielle - Défense en profondeur niveau 1 (PLC) + périmètre - Symantec W32.Stuxnet Dossier v1.4 (2011) pour étude académique

Industroyer / CrashOverride (2016)

Coupure d'électricité ~1h à Kiev en décembre 2016, sous-station Pivnichna. Attribué à Sandworm (GRU russe).

Originalité : premier malware modulaire conçu pour protocoles électriques. Quatre payloads : - IEC 60870-5-101 (série) - IEC 60870-5-104 (TCP/IP, port 2404) - IEC 61850 (MMS, port 102) - OPC DA

Industroyer2 détecté par ESET et CERT-UA en avril 2022, ciblant une autre sous-station ukrainienne. Neutralisation avant déclenchement.

Leçons : - Protocoles SCADA électriques deviennent cibles maîtrisées - Attribution APT nécessite des mois d'analyse - Partage threat intel critique (E-ISAC) - IEC 62351 doit être déployé activement

Triton / Trisis / Hatman (2017)

Cible spécifique : systèmes instrumentés de sécurité (SIS) — contrôleurs Schneider Triconex Tricon. Pétrochimie saoudienne (probablement Petro Rabigh). Attribué au TsNIIKhM (institut russe) par le Trésor américain en 2020.

Particularité critique : un SIS est la dernière barrière avant un incident industriel majeur. Manipuler ce niveau = supprimer le système de freinage d'urgence. L'attaque visait à provoquer un événement physique catastrophique. Erreur de programmation des attaquants → SIS trip qui a révélé l'intrusion.

Vecteur : IT compromise → DCS Schneider Foxboro → ingénieurs SIS → reprogrammation Tricon via protocole TriStation (port 1502).

Leçons : - Séparation physique BPCS/SIS recommandée par IEC 61511 doit être absolue - Key switches SIS en position RUN verrouillée - Franchissement safety/security = ligne rouge éthique - Détection par échec opérationnel ≠ monitoring

ICS Kill Chain

Modèle ICS Cyber Kill Chain (SANS, Assante & Lee, 2015) :

  1. Stage 1 : intrusion IT classique, reconnaissance, persistance
  2. Stage 2 : développement capacité ICS, manipulation procédé, attaque

Stuxnet, Industroyer et Triton respectent ce modèle. Le dwell time OT entre Stage 1 et Stage 2 : mois à années → fenêtre de détection théorique.

Sources

  • Dragos Year in Review (annuel)
  • CISA Advisories ICS-CERT
  • ENISA Threat Landscape for Industrial Sectors
  • Mandiant M-Trends (sections OT)

En OT, une vulnérabilité exploitée = blessures humaines, atteintes environnementales, arrêts économiques. Le mandat éthique est d'autant plus exigeant.