La maison-mère de la centrale nucléaire de Kudankulam a confirmé dans un communiqué de presse la présence d’un cheval de Troie au sein de son réseau administratif. Le logiciel malveillant en question n’est autre qu’une version modifiée de Dtrack, un malware développé par le groupe nord-coréen Lazarus.

La cyberattaque subie par la centrale nucléaire de Kudankulam, située sur le littoral sud de l’Inde, était-elle accidentelle ? C’est toute la question après la lecture d’un article récapitulatif de ZDNet, qui se fait le relaie de cet incident officiellement reconnu par la Nuclear Power Corporation of India Limited (NPCIL), maison-mère du site susmentionné et entreprise publique de production d’électricité.

Le cheval de Troie repéré dans le réseau administratif de la centrale, et non dans le réseau interne qui permet de contrôler les réacteurs nucléaires, est bien connu du milieu cyber : Dtrack, imaginé puis développé par un groupe professionnel de hackers d’origine nord-coréenne répondant au nom de Lazarus. Sur ce point, l’ensemble des parties est unanime.

Le secteur financier dans le viseur de Lazarus

Comme le note ZDNet, les activités de Lazarus au cours du mois dernier se sont principalement focalisées sur la diffusion de diverses versions de Dtrack aux quatre coins de l’Inde, visant tout particulièrement le secteur financier. Un domaine régulièrement ciblé par la cyberteam, au même titre que les représentants diplomatiques, anciens citoyens en exil et plateformes de cryptomonnaies – pour mieux financer son programme nucléaire.

Crédit photo : wostemme via Pixabay.

S’attaquer à des sites industriels ne fait généralement pas partie de ses habitudes. D’où les suppositions du média américain, selon lesquelles cette intrusion informatique s’apparenterait à un accident. Au cours de ses nombreuses manœuvres observées ces dernières semaines, Lazarus aurait-il fauté pour des raisons encore inconnues en s’infiltrant involontairement dans la centrale nucléaire indienne ?

Dtrack, quelles capacités d’action ?

Une question légitime, bien qu’un élément en particulier tende à prouver le contraire. Toujours selon ZDNet, les informations d’identification du virus ont été codées en dur. Conséquences : le « programme malveillant a été spécialement conçu pour se répandre et fonctionner au sein du réseau informatique » de la cible, est-il écrit. Dans ce cas, l’hypothèse de l’accident est balayée d’un revers de la main.

La capacité d’action de Dtrack se résume avant tout à de l’espionnage et de la récolte de données, comme la récupération d’historiques, d’adresses IP, d’informations liées aux réseaux disponibles et connexions actives et de fichiers nichés au sein des disques. Pour quels usages ? Pour l’instant, mystère.

Partager sur les réseaux sociaux