Images Getty | Divers photographie
Plus d’une demi-décennie s’est écoulée depuis que les pirates russes notoires connus sous le nom de Sandworm ont attaqué une station de transmission électrique au nord de Kiev une semaine avant Noël 2016, en utilisant un code automatisé unique pour interagir directement avec les disjoncteurs de la station et l’éteindre fraction de la capitale ukrainienne. Ce spécimen sans précédent de logiciel malveillant de système de contrôle industriel n’a jamais été revu – jusqu’à présent : au milieu de l’invasion brutale de l’Ukraine par la Russie, Sandworm semble jouer ses vieux tours.
Mardi, l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) et la société slovaque de cybersécurité ESET ont révélé que le groupe de hackers Sandworm, confirmé être l’unité GRU 74455 du renseignement militaire russe, avait attaqué des sous-stations à haute tension en Ukraine, une variante d’un Malware connu sous le nom de Industroyer ou Crash Override. Le nouveau logiciel malveillant, nommé Industroyer2, peut interagir directement avec les appareils des entreprises de services publics d’électricité pour envoyer des commandes aux appareils des sous-stations qui contrôlent le flux d’électricité, tout comme dans l’exemple précédent. Il montre que l’équipe de cyberattaque la plus agressive de Russie a tenté une troisième panne de courant en Ukraine, des années après ses cyberattaques historiques sur le réseau électrique ukrainien en 2015 et 2016, toujours les seules pannes de courant confirmées connues pour avoir été causées par des pirates.
ESET et CERT-UA affirment que le logiciel malveillant a été placé vendredi sur les systèmes cibles d’une société énergétique régionale ukrainienne. Selon le CERT-UA, l’attaque a été détectée et arrêtée avec succès avant qu’une véritable panne de courant ne puisse être déclenchée. Mais une consultation privée antérieure du CERT-UA la semaine dernière, rapportée pour la première fois mardi par MIT Technology Review, a indiqué que l’alimentation de neuf sous-stations avait été temporairement coupée.
CERT-UA et ESET ont refusé de nommer l’utilitaire concerné. Cependant, selon Farid Safarov, vice-ministre ukrainien de l’Énergie, plus de 2 millions de personnes vivent dans la zone desservie.
« La tentative de piratage n’a eu aucun impact sur l’alimentation électrique de la compagnie d’électricité. Il a été rapidement identifié et désamorcé », a déclaré Viktor Zhora, un haut responsable de l’agence de cybersécurité ukrainienne connue sous le nom de Services d’État pour la protection spéciale des communications et de l’information (SSSCIP). . « Mais la perturbation prévue était énorme. » Interrogé sur le rapport précédent, qui semblait décrire une attaque qui avait au moins partiellement réussi, Zhora l’a qualifié de « rapport préliminaire » et s’en est tenu à ses récentes déclarations publiques et au CERT-UA.
Selon le CERT-UA, les pirates ont pénétré le fournisseur d’électricité cible en février ou peut-être plus tôt – comment exactement n’est pas encore clair – mais n’ont essayé de déployer la nouvelle version d’Industroyer que vendredi. Les pirates ont également déployé plusieurs formes de logiciels malveillants « d’effacement » conçus pour détruire les données sur les ordinateurs au sein de l’utilitaire, y compris un logiciel d’effacement ciblant les systèmes basés sur Linux et Solaris, ainsi que des essuie-glaces Windows plus courants et également un code appelé CaddyWiper qui avait été trouvé dans Banques ukrainiennes au cours des dernières semaines. Le CERT-UA a affirmé mardi qu’il était également capable d’intercepter ce malware d’essuie-glace avant qu’il ne puisse être utilisé. « Nous avons eu beaucoup de chance de pouvoir répondre à cette cyberattaque en temps opportun », a déclaré Zhora aux journalistes lors d’une conférence de presse mardi.