Connexion
37C3: how ethical hackers broke DRM on trains | Kaspersky official blog
Pourquoi des pirates informatiques polonais se sont introduits dans les trains
Il y a environ cinq ans, l'opérateur ferroviaire polonais Koleje Dolnośląskie (KD) a acheté 11 trains Impuls 45WE au fabricant national Newag. Après cinq ans d'utilisation intensive, il était temps de procéder à un entretien et à une maintenance : un processus plutôt complexe et coûteux qu'un train doit subir après avoir parcouru un million de kilomètres.
Afin de sélectionner un atelier pour l'entretien des trains, KD a lancé un appel d'offres. Newag figurait parmi les soumissionnaires, mais a perdu face à Serwis Pojazdów Szynowych (SPS), dont l'offre était nettement inférieure à la sienne.
Cependant, une fois l'entretien du premier train terminé, SPS s'est rendu compte qu'il ne démarrait plus, alors qu'il semblait en parfait état, tant sur le plan mécanique qu'électrique. Toutes sortes d'instruments de diagnostic ont révélé que le train ne présentait aucun défaut, et tous les mécaniciens et électriciens qui ont travaillé dessus étaient d'accord. Peu importe : le train ne démarrait tout simplement pas.
Peu de temps après, plusieurs autres trains réparés par SPS - ainsi qu'un autre transporté dans un autre atelier - se sont retrouvés dans le même état. C'est alors que SPS, après avoir tenté à plusieurs reprises de percer le mystère, a décidé de faire appel à une équipe de pirates informatiques (à la tête blanche).
La cabine du conducteur du train piraté par les chercheurs polonais
Intérieur de la cabine de conduite d'un des trains Newag Impuls qui ont fait l'objet de l'enquête. Source
Implants malveillants et portes dérobées du fabricant dans le micrologiciel du train
Les chercheurs ont passé plusieurs mois à faire de la rétro-ingénierie, à analyser et à comparer les microprogrammes des trains qui avaient été bloqués et de ceux qui fonctionnaient encore. Ils ont ainsi appris comment démarrer les trains mystérieusement en panne, tout en découvrant un certain nombre de mécanismes intéressants intégrés dans le code par les développeurs de logiciels de Newag.
Par exemple, ils ont découvert que l'un des systèmes informatiques des trains contenait un code qui vérifiait les coordonnées GPS. Si le train passait plus de 10 jours dans l'une des zones spécifiées, il ne démarrait plus. Quelles étaient ces zones ? Les coordonnées étaient associées à plusieurs ateliers de réparation tiers. Les propres ateliers de Newag figuraient également dans le code, mais le verrouillage des trains n'y était pas déclenché, ce qui signifie qu'ils étaient probablement utilisés à des fins de test.
Zones de verrouillage des trains définies par des coordonnées
Zones de la carte où les trains seraient verrouillés. Source
Un autre mécanisme du code immobilisait le train après avoir détecté que le numéro de série d'une des pièces avait changé (indiquant que cette pièce avait été remplacée). Pour remettre le train en marche, il fallait appuyer sur une combinaison prédéfinie de touches de l'ordinateur de bord dans la cabine du conducteur.
Un autre piège intéressant a été découvert à l'intérieur d'un des systèmes du train. Il signalait un dysfonctionnement du compresseur si le jour du mois en cours était le 21 ou une date ultérieure, si le mois était le 11 ou une date ultérieure et si l'année était 2021 ou une date ultérieure. Il s'est avéré que le mois de novembre 2021 était la date de maintenance prévue pour ce train en particulier. Le déclenchement a été miraculeusement évité parce que le train est parti en maintenance plus tôt que prévu et n'est revenu pour un service qu'en janvier 2022, le premier mois, qui est évidemment antérieur au 11.
Autre exemple : il a été constaté que l'un des trains contenait un dispositif marqué "UDP<->CAN Converter", qui était connecté à un modem GSM pour recevoir des informations sur l'état de la serrure de la part de l'ordinateur de bord.
Le mécanisme le plus fréquemment trouvé - et nous devons noter ici que chaque train avait un ensemble différent de mécanismes - était conçu pour verrouiller le train s'il restait stationné pendant un certain nombre de jours, ce qui signifiait la maintenance d'un train en service actif. Au total, Dragon Sector a examiné 30 trains Impuls exploités par KD et d'autres transporteurs ferroviaires. Il s'est avéré que 24 d'entre eux contenaient des implants malveillants.
— Permalien
