Les cyberattaques arrêtent les systèmes d’automatisation des bâtiments

Une société d’ingénierie en automatisation des bâtiments a vécu un scénario cauchemardesque : elle a soudainement perdu le contact avec des centaines de ses dispositifs de système d’automatisation des bâtiments (BAS) – interrupteurs d’éclairage, détecteurs de mouvement, contrôleurs de volets et autres – après qu’une rare cyberattaque a exclu l’entreprise du BAS. avait construit pour un client d’immeuble de bureaux.

L’entreprise, située en Allemagne, a découvert que les trois quarts des appareils BAS du réseau de systèmes d’immeubles de bureaux avaient été mystérieusement purgés de leurs « intelligents » et verrouillés avec la propre clé de sécurité numérique du système, qui était désormais sous le contrôle des attaquants. . L’entreprise a dû revenir à l’activation et à la désactivation manuelle des disjoncteurs centraux afin d’allumer les lumières du bâtiment.

Les appareils BAS, qui contrôlent et exploitent l’éclairage et d’autres fonctions dans l’immeuble de bureaux, ont été essentiellement maquillés par les attaquants. « Tout a été supprimé… complètement effacé, sans fonctionnalité supplémentaire » pour les opérations BAS dans le bâtiment, explique Thomas Brandstetter, co-fondateur et directeur général de Limes Security, dont la société de sécurité des systèmes de contrôle industriel a été contactée en octobre par l’ingénierie ferme à la suite de l’attaque.

L’équipe de Brandstetter, dirigée par les experts en sécurité Peter Panholzer et Felix Eberstaller, a finalement récupéré la clé BCU (unité de couplage de bus) détournée de la mémoire dans l’un des appareils en brique de la victime, mais il a fallu un certain piratage créatif. La société d’ingénierie a ensuite pu reprogrammer les appareils BAS et remettre en marche l’éclairage, les volets, les détecteurs de mouvement et d’autres systèmes du bâtiment.

Mais l’attaque n’était pas une anomalie. Depuis lors, Limes Security a reçu des rapports faisant état de types d’attaques similaires contre des systèmes BAS exécutés sur KNX, une technologie de système d’automatisation des bâtiments largement déployée en Europe. Pas plus tard que la semaine dernière, Limes Security a été contacté par une autre société d’ingénierie en Europe qui avait subi un type d’attaque étrangement similaire à celui de la société allemande – sur un système KNX BAS qui l’a également verrouillé.

« Ce qui était intéressant… c’est que les attaquants ici ont abusé de ce qui était censé être une fonction de sécurité, un mot de passe de programmation [the BCU key] cela empêcherait un adversaire de manipuler les composants », explique Panholzer.

« Heureusement pour nous et le [BAS] opérateurs jusqu’à présent dans chacun des incidents dans lesquels nous avons été impliqués, les attaquants ont défini le même mot de passe pour tous les composants » dans les réseaux BAS respectifs des victimes, dit Panholzer. « En théorie, il pourrait y avoir un mot de passe différent pour chaque composant , et cela rendrait en fait la récupération beaucoup, beaucoup plus difficile. »

Pour sa part, KNX avertit dans ses informations de support produit que la fonction de sécurité de la clé BCU doit être déployée avec précaution pour le logiciel de l’outil d’ingénierie (ETS) : « Utilisez cette option avec précaution ; si le mot de passe est perdu, ces appareils doivent être renvoyés au fabricant. La clé BCU oubliée dans les appareils ne peut pas être modifiée ou réinitialisée de l’extérieur, car cela rendrait la protection dans ETS dénuée de sens (bien sûr, les fabricants savent comment faire cela) », a déclaré le fournisseur de l’association KNX sur sa page d’assistance.

Mais en réalité, la plupart des fabricants de ces appareils sont incapables de récupérer les clés BCU volées, note Panholzer. La société d’ingénierie allemande a d’abord demandé de l’aide à ses fournisseurs d’appareils BAS, mais les fournisseurs ont informé l’entreprise qu’ils n’étaient pas en mesure d’accéder aux clés.

Il y a eu d’autres rapports indirects d’attaques similaires sur des systèmes basés sur KNX, dit-il. « Il semble y avoir une sorte de vague d’attaques. Nous ne savons pas vraiment à quel point » elle est répandue, cependant, dit-il.

« Ce qui est évident, c’est qu’il est sorti de nulle part : tout à coup, il y a eu de nombreuses attaques dont nous sommes conscients », a déclaré Panholzer, qui prévoit de présenter le cas – que la société appelle KNXlock – lors de la conférence sur la sécurité S4x22 ICS le mois prochain. Dans Miami. Limes Security a refusé d’identifier les organisations victimes qui ont été touchées par les attaques pour des raisons de confidentialité.

Il n’y a pour l’instant aucun indice permettant de remonter jusqu’aux assaillants. Les systèmes BAS ne sont configurés avec aucune fonction de journalisation, de sorte que les attaquants ne laissent aucune empreinte numérique en soi. Leurs attaques n’ont laissé aucune note de rançon ni aucun signe de ransomware, donc on ne sait même pas quelle était la fin du jeu des attaques.

« Ma théorie ici est qu’il peut y avoir une ou plusieurs sources d’attaquants, mais nous n’en sommes pas sûrs » en raison du manque de journaux, dit Panholzer.

Les chercheurs de Limes Security, quant à eux, ont mis en place un système de pot de miel pour voir s’ils peuvent inciter les attaquants à s’en prendre à leur faux BAS afin de recueillir des informations sur l’origine des attaques. Jusqu’à présent, cependant, personne n’a mordu à l’hameçon.

Le système de bâtiment intelligent est un vecteur d’attaque souvent oublié qui chevauche les mondes de la sécurité physique et de la cybersécurité. Jusqu’à présent, les piratages de bâtiments ont été rares, quelques-uns d’entre eux ayant fait la une des journaux à ce jour : une attaque de ransomware en 2016 contre un hôtel en Autriche qui a frappé les serrures des chambres et une attaque par déni de service distribué contre les systèmes de chauffage de deux immeubles d’habitation à La Finlande en 2016.

Brandstetter de Limes Security étudie les vulnérabilités du BAS depuis quelques années maintenant. En 2017, il a présenté des recherches à Black Hat USA sur le piratage des systèmes BAS. Il a démontré des scénarios sur la façon dont KNX et BACnet, une autre norme technologique BAS populaire largement utilisée aux États-Unis, pourraient être abusés par des attaquants.

En 2018, Elisa Costante de Forescout et son équipe ont écrit des logiciels malveillants de test, y compris un ver, qu’ils ont utilisé pour exposer les vulnérabilités logicielles de quelque 11 000 appareils BAS, y compris des passerelles de protocole et des contrôleurs logiques programmables pour les systèmes CVC et le contrôle d’accès. Ils ont présenté leurs recherches au S4x19 en 2019.

Comment le piratage du bâtiment intelligent s’est produit
Le système BAS de la société d’ingénierie allemande a d’abord été infiltré via un port UDP non sécurisé laissé exposé sur l’Internet public. À partir de là, les attaquants – qui, selon l’équipe de Limes, connaissaient bien l’architecture KNX – ont « déchargé » ou essentiellement effacé les fonctionnalités des appareils BAS, puis les ont définis avec la clé BCU, qu’ils ont verrouillée avec leur propre mot de passe.

La clé BCU dans KNX sert à empêcher les modifications indésirables d’un appareil : pour effectuer une modification, vous avez besoin du mot de passe de l’appareil. L’équipe de Limes a demandé à la société d’ingénierie de leur envoyer quelques-uns de leurs appareils BAS afin qu’ils puissent comprendre comment récupérer les clés. Le piratage par force brute prendrait plus d’un an, ont-ils conclu, car les temps de réponse d’authentification sont si lents avec les appareils.

« La clé BCU n’est en fait qu’une chaîne de 4 octets et huit caractères », explique Panholzer. « On pourrait penser que 4 octets seraient faciles à forcer, mais les appareils sont très lents à répondre » en réponse, dit-il.

Ils ont proposé un plan pour essayer de lire à partir de la mémoire du processeur sur les appareils qui n’avaient pas défini de protections pour leurs processeurs. Pour affiner leur recherche, ils se sont concentrés sur les zones de la mémoire où ils pensaient que la clé serait probablement stockée et ont forcé celles-ci pour le mot de passe. Ils ont essentiellement programmé trois images différentes de la mémoire de l’appareil afin de pouvoir localiser l’emplacement de stockage de l’adresse.

« Nous pourrions [then] limiter la zone suspecte à un plus petit tas d’octets, et l’alimenter en outil de force brute », explique-t-il.

KNXimage_copy.jpg

Les outils utilisés par les chercheurs de Limes Security pour récupérer la clé BCU piratée des appareils BAS piratés.

Source : Limes Sécurité

Quarante-cinq minutes plus tard, ils ont déterré la clé BCU. Il correspondait aux quatre appareils – de différents fournisseurs – qu’ils avaient en main, ils étaient donc convaincus qu’il fonctionnerait sur tous les appareils. La société d’ingénierie a tapé la clé BCU dans son logiciel de programmation et a remis le système BAS en service dans les 30 minutes, après plusieurs semaines de contrôle manuel de l’éclairage et d’autres services automatisés dans le bâtiment.

Écart de sécurité
Le thème sous-jacent que ces récentes attaques soulignent : de nombreux professionnels qui installent et gèrent des systèmes BAS comme ceux de KNX ne font pas partie des équipes informatiques ou de sécurité. Au contraire, les systèmes BAS sont généralement le domaine des ingénieurs et des entreprises de gestion de bâtiments. Les équipes informatiques et de sécurité se croisent rarement avec les opérations BAS, ce qui peut être problématique.

Prenons l’exemple de la société européenne de gestion de bâtiments qui a contacté Limes Security la semaine dernière. Les victimes pensent que les attaquants sont entrés via une passerelle IP qui avait été temporairement installée lors de la phase de construction du bâtiment. La passerelle IP « devait être retirée après la remise du bâtiment », note Panholzer. « Mais il a été oublié et n’a jamais été désactivé. »

Le fournisseur de BAS basé à Bruxelles, KNX, fournit des recommandations de sécurité spécifiques aux organisations qui déploient ses normes logicielles et réseau. Celles-ci incluent l’utilisation d’un VPN pour toutes les connexions Internet au système, la segmentation de son réseau Backbone IP KNX des autres réseaux IP via des VLAN et la mise en place d’un pare-feu entre le réseau IP KNX et les autres réseaux.

« Nous avons trouvé une bonne documentation et des recommandations » de KNX sur la sécurisation correcte des systèmes BAS, dit Panholzer. « Ils essaient d’inclure beaucoup de sensibilisation à la sécurité dans leur matériel. »

KNX n’avait pas encore répondu à une requête de Dark Reading au moment de cette publication.

Trouver les systèmes BAS exposés est aussi simple qu’un scan Shodan, note Stephen Cobb, un chercheur indépendant sur les risques. C’est probablement ainsi que les attaquants se concentrent sur les systèmes de construction vulnérables.

Bien que les attaques BAS à ce jour restent relativement rares, elles pourraient être lucratives pour les cybercriminels, note-t-il. « Cela pourrait être un futur domaine d’exploitation criminelle très grave. Il a tous les ingrédients pour ressembler à un ransomware », a déclaré Cobb, ancien d’ESET. « Des pièces non sécurisées peuvent être trouvées et exploitées. »

Les attaques de ransomware et d’extorsion sur un BAS pourraient être utilisées pour cibler les sociétés de gestion des installations, ou plus inquiétant encore, les hôpitaux, dit-il. Même ainsi, il existe aujourd’hui des méthodes d’extorsion plus faciles : « Le RDP non sécurisé et le phishing génèrent juste assez de cibles » pour rester les vecteurs d’attaque dominants, note-t-il.