La deuxième (et la plus grande) centrale nucléaire de l'Inde a cessé de fonctionner le 19 octobre 2019. On soupçonne que la centrale nucléaire de Kudankulam a été frappée par une cyberattaque et que les autorités ont déjà été alertées de la menace des mois auparavant. Alors même que les experts en cybersécurité enquêtent sur cette affaire, les autorités n'ont pas tardé à écarter la possibilité qu'un logiciel espion s'infiltre dans leurs systèmes. Le projet de centrale électrique construit en collaboration avec la Russie a été la cible d'acteurs étrangers depuis sa création.
La deuxième centrale nucléaire de 1000 MW de Kudankulam, propriété de la Nuclear Power Corporation of India Ltd (NPCIL), a arrêté la production d'électricité le samedi 19 octobre, a déclaré Power System Operation Corporation Ltd (POSOCO). La centrale atomique s'est arrêtée de produire vers 12h30 le samedi en raison du "niveau SG bas", a ajouté l'entreprise. La date prévue de la reprise de l'unité n'est pas connue. Le NPCIL possède deux centrales nucléaires de 1000 MW à Kudankulam Nuclear Power Project (KNPP) construites avec des équipements russes.
Alors que les experts en cybersécurité enquêtent sur cette brèche, la centrale nucléaire de Kudankulam au Tamil Nadu a nié avoir été victime d'une cyberattaque et nié tout incident où un virus espion aurait infecté les systèmes de l'usine. La déclaration affirmait que puisque "le projet de centrale nucléaire de Kudankulam (KKNPP) et d'autres systèmes indiens de contrôle des centrales nucléaires sont autonomes et ne sont pas connectés à un cyber-réseau extérieur et à Internet, toute cyberattaque sur les systèmes de contrôle des centrales nucléaires est pas impossible". Il s'agit toutefois d'une fausse affirmation qui a été révélée lorsque les services de renseignements israéliens ont ciblé l'installation nucléaire iranienne (qui n'était pas non plus connectée à Internet) avec Stuxnet.
Avertissement préalable
Plus d'un mois avant que l'unité ne cesse de fonctionner, le Bureau du coordonnateur national de la cybersécurité a été informé d'une intrusion de leurs systèmes par l'analyste du renseignement sur la cybermenace, Pukhraj Singh. L'alerte a été générée à la suite d'une enquête menée par la société de cybersécurité Kaspersky sur des outils d'espionnage surnommés DTrack.
Seeing KKNPP's press release, I would like to add that I notified Lt Gen Rajesh Pant (National Cyber Security Coordinator) on Sep 4. Follow-up emails were exchanged, acknowledging the issue. I would solicit no further enquiries on the matter, requesting privacy. https://t.co/SMdABbJcvQ
— Pukhraj Singh (@RungRage) October 29, 2019
Collecte de données DTrack
Le transfert de données DTrack de la centrale électrique a également révélé des informations d'identification codées statiquement, entre autres choses :
Identifiants de connexion
Informations locales d'installation IP, MAC, OS (y compris les org enregistrés) via le registre
Historique du navigateur
Connectivité à l'IP local
Compspec, ipconfig, netstat info
> net use \\\\\\10.38.1.35\C$ su.controller5kkk /user:KKNPP\\\administrator
DTrack - Outil espion
Kaspersky Global Research and Analysis Team ont découvert un outil d'espionnage jusqu'alors inconnu, qui avait été repéré dans des institutions financières indiennes et des centres de recherche. Appelé Dtrack, ce logiciel espion aurait été créé par le groupe Lazarus et est utilisé pour télécharger et télécharger des fichiers dans les systèmes des victimes, enregistrer les frappes de touches et mener d'autres actions typiques d'un outil d'administration à distance malveillante (RAT).
En 2018, les chercheurs de Kaspersky ont découvert ATMDtrack - un logiciel malveillant créé pour infiltrer les guichets automatiques bancaires indiens et voler les données des cartes clients. À la suite d'une enquête plus poussée à l'aide du moteur d'attribution Kaspersky et d'autres outils, les chercheurs ont découvert plus de 180 nouveaux échantillons de logiciels malveillants qui présentaient des similitudes de séquence de code avec ATMDtrack, mais qui, en même temps, n'étaient pas destinés aux guichets automatiques. Au lieu de cela, sa liste de fonctions l'a défini comme outil d'espionnage, maintenant connu sous le nom de Dtrack. De plus, non seulement les deux souches partageaient des similitudes entre elles, mais aussi avec la campagne DarkSeoul 2013, qui a été attribuée à Lazarus - un acteur de la menace de persistance avancée tristement célèbre responsable de multiples opérations de cyberespionnage et de cybersabotage.
Dtrack peut être utilisé comme RAT, donnant aux acteurs de la menace un contrôle total sur les dispositifs infectés. Les criminels peuvent alors effectuer différentes opérations, telles que télécharger des fichiers et exécuter des processus clés.
In a breach of national security, INS Vikrant, India’s first Indigenous Aircraft Carrier (IAC) was hit by an espionage attack where a hard disk and a multi function control (MFC) processor were stolen from the ship docked at the Cochin Shipyard Ltd (CSL) https://t.co/UZNMUJmO59
— Sabena Siddiqi (@sabena_siddiqi) October 28, 2019
Les entités ciblées par les acteurs de la menace qui utilisent Dtrack RAT ont souvent des politiques de sécurité réseau et des normes de mots de passe faibles, tout en ne suivant pas le trafic au sein de l'organisation. S'il est mis en œuvre avec succès, le logiciel espion est capable de lister tous les fichiers et processus en cours d'exécution disponibles, l'historique des clés, l'historique du navigateur et les adresses IP des hôtes, y compris les informations sur les réseaux disponibles et les connexions actives.
Le malware nouvellement découvert est actif et basé sur la télémétrie Kaspersky, est toujours utilisé dans les cyberattaques.
"Lazare est un groupe plutôt inhabituel parrainé par une nation-état. D'une part, comme beaucoup d'autres groupes similaires, il se concentre sur les opérations de cyberespionnage ou de sabotage. Mais d'un autre côté, on a également constaté qu'elle influençait des attaques qui visaient clairement à voler de l'argent. Ce dernier point est tout à fait unique pour un acteur de la menace d'une telle importance parce que généralement, les autres acteurs n'ont pas de motivations financières dans leurs opérations", a déclaré Konstantin Zykov, chercheur en sécurité, Kaspersky Global Research and Analysis Team.
"Le grand nombre d'échantillons de Dtrack que nous avons trouvé montre comment Lazarus est l'un des groupes APT les plus actifs, en constante évolution et les menaces en évolution dans le but d'affecter les grandes industries. Leur exécution réussie de Dtrack RAT prouve que même lorsqu'une menace semble disparaître, elle peut être ressuscitée sous une autre forme pour attaquer de nouvelles cibles.
A scientist with the National Remote Sensing Centre (NRSC) of the Indian Space Research Organisation (ISRO) was on Tuesday found murdered in his apartment in #Hyderabad.https://t.co/JQ5G7naiK9
— GreatGameIndia (@GreatGameIndia) October 2, 2019
La main étrangère
En 2012, le premier ministre indien de l'époque, Manmohan Singh, a affirmé dans une déclaration initiale que des services de renseignement étrangers étaient impliqués dans le sabotage du projet de centrale nucléaire de Kudankulam (KNPP), un fondement de l'alliance indo-russe. Manmohan Singh faisait référence aux manifestations antinucléaires à Kudankulam, qu'il prétendait orchestrées par des ONG soutenues par les Américains.
Après les démentis répétés pendant plus d'un an de pêcheurs et d'agriculteurs qui s'opposaient à la protestation contre le financement du KNPP par l'étranger, la police de la ville du sud de l'Inde a ouvert une procédure contre un "transfert d'argent suspect" en provenance de Londres.
La police a déclaré que T. Ambika, épouse du militant anti-KNPP Kumar alias Thavasi Kumar, a reçu environ 55.000 dollars sur son compte auprès de la banque Canara Kudankulam Banch d'un particualar Anand basé au Royaume-Uni. Les fonctionnaires de la banque ont informé la police du dépôt sur le compte. La police a alors lancé une enquête sur l'argent envoyé d'une destination étrangère à une destination associée à la lutte antiKNPP en cours.
Rapport de renseignement
Selon un document secret du Bureau du renseignement en possession de GreatGameIndia, les protestations ont été dirigées par l'Ohio State University, SP Udaykumar, et une foule d'ONG financées par l'Ouest. La conspiration a été démêlée lorsqu'un ressortissant allemand a fourni à Udaykumar une carte numérisée de toutes les centrales nucléaires et de tous les sites miniers d'uranium en Inde. La carte comprenait les coordonnées de 50 militants antinucléaires indiens révélant un réseau complexe visant à "démanteler" le programme nucléaire de l'Inde par l'activisme des ONG.
Une enquête sur Udaykumar avait révélé un lien profond et croissant avec des entités américaines et allemandes. En juillet 2010, Udaykumar a reçu un contrat non sollicité du Kirwan Institute for Study of Race and Ethnicity de l'Ohio State University, USA, en tant que consultant sur "les questions de groupe, de race, de classe et de démocratie à travers les ONG". Il a été payé 21.120$ jusqu'en juin 2011 sur un compte bancaire américain à son nom et a été engagé pour gagner 17.600$ de plus jusqu'en avril 2012 pour les rapports bimensuels. Ces rapports étaient significatifs dans le fait qu'il s'agissait de très brèves listes de trois articles généraux ou livres censés avoir été lus au cours des deux dernières semaines, dont aucun ne concernait l'activisme antinucléaire, son principal intérêt.
En conséquence, le contact d'Udaykumar en Allemagne, un certain Sonntag Rainer Hermann (de nationalité allemande) a été expulsé de Chennai, le 27 février 2012. L'ordinateur portable d'Hermann contenait une carte numérisée de l'Inde avec 16 centrales nucléaires (existantes ou proposées) et cinq emplacements de mines d'uranium bien en vue. La carte comprenait également les coordonnées de 50 militants antinucléaires indiens, écrites à la main sur de petits bouts de papier, ainsi qu'un graphique PIN Blackberry. La carte a été envoyée par courrier électronique à cinq éminents militants antinucléaires, dont Udaykumar.
Carte acquise d'un espion allemand par le Bureau du renseignement avec 16 centrales nucléaires (existantes ou proposées) et cinq emplacements de mines d'uranium bien en vue.
Une analyse approfondie a révélé que les bordereaux d'inscription sur la carte ont été rédigés à la main afin d'éviter une détection possible par des algorithmes de recherche de texte qui seraient installés sur les passerelles électroniques.
Sur la base de l'enquête ci-dessus, l'analyse du réseau de toutes les activités des ONG antinucléaires en Inde a révélé l'existence d'un "réseau d'ONG".
Un "Super réseau" (dirigé principalement par Greenpeace et des militants renommés)
Cinq 'Réseaux territoriaux' basés sur
Tamil Nadu (Idinthakarai, District Tirunelveli),
Kerala (Trivandrum),
Andhra Pradesh (Hyderabad),
Gujarat (Ahmedabad),
Meghalaya (Shillong)
La carte indiquait clairement l'implication d'une agence organisée et/ou d'une entité hautement professionnelle et bien financée, qui déploie des efforts considérables pour masquer ses origines.
Source : Zerohedge
Informations complémentaires :
Crashdebug.fr : « La brèche la plus destructrice de l'histoire » : des pirates informatiques utilisent du code de la NSA pour arrêter Baltimore (Zerohedge)
