En 2015, et plus précisément au mois de décembre de cette année, des pirates informatiques ont infiltré le système informatique des réseaux de distribution d’électricité de plusieurs compagnies régionales et ont provoqué une coupure d’électricité dans l’ouest de l’Ukraine. Pour cette attaque, Symantec a pointé du doigt le groupe de pirates Sandworm. Un peu plus d’un an après cette première attaque, l’Ukraine a été à nouveau frappée par une attaque qui a paralysé le système informatique de l’entreprise de fourniture d’énergie Ukrenergo et a entraîné une panne d’électricité privant une partie de l’Ukraine d’énergie. Pour cette attaque, l’Ukraine a condamné la Russie.Depuis des années, Symantec mène des enquêtes sur plusieurs groupes de pirates informatiques et a déjà détecté des activités suspectes liées au secteur énergétique datant d’au moins 2011 et imputées au groupe de pirates Dragonfly.
Dans un récent rapport, l’entreprise de sécurité Symantec rapporte qu’elle détiendrait des preuves de ce que Dragonfly a refait surface depuis 2015 et mène de nouvelles campagnes avec des outils et tactiques utilisées dans les campagnes passées. Pour ces nouvelles campagnes que Symantec a rebaptisées « ;campagnes de Dragonfly 2.0 ;», l’entreprise de sécurité indique qu’elle a de fortes indications que ce groupe mènerait des activités dans « ;des organisations aux États-Unis, en Turquie et en Suisse, avec des traces d’activités dans des organisations extérieures à ces pays. ;» Tout comme dans les attaques menées entre 2011 et 2014, « ;Dragonfly 2.0 utilise une variété de vecteurs d’infection dans le but d’accéder au réseau des victimes. ;»
La première activité identifiée par Symantec dans cette nouvelle campagne est une campagne malveillante de courriers électroniques dans laquelle les attaquants ont envoyé des courriels à des cibles dans le secteur de l’énergie en décembre 2015 sous la forme d’invitations à une fête du Nouvel An. En plus de cette campagne de 2015, le groupe aurait mené d’autres campagnes de courriels malveillants entre 2016 et 2017. Encore une fois, des courriels contenant des informations très spécifiques liées au secteur de l’énergie, ainsi que certains liés aux préoccupations commerciales générales ont été envoyés à des personnes travaillant dans le domaine de l’énergie. Et lorsque les pièces jointes des emails ont été ouvertes, le code malicieux attaché à ces pièces jointes aurait tenté d’envoyer les informations d’identification réseau de la victime sur un serveur indiqué par l’attaquant.
Il convient de souligner que Symantec n’est pas la seule entreprise à avoir identifié cette campagne de phishing menée par des tiers malveillants dans le domaine de l’énergie. En effet, au mois de juillet dernier, Cisco a rapporté que des acteurs tapis dans l’ombre se seraient servis de la boîte à outils Phishery pour voler les identifiants de personnes travaillant dans le secteur de l’énergie. Et après avoir analysé les emails envoyés et les documents attachés à ces emails, Symantec est également parvenue à la même conclusion.
À côté des campagnes de vols d’identification menées avec les emails infectés, Symantec informe que les attaquants ont également utilisé des attaques de points d’eau pour récolter des informations d’identification réseau, en compromettant les sites web susceptibles d’être visités par les acteurs du secteur de l’énergie.
Les identifiants volés ont ensuite été utilisés pour suivre des organisations cibles. Dans un cas observé, après qu’une victime ait visité l’un des serveurs compromis, Backdoor.Goodor a été installé sur la machine de ce dernier via PowerShell, onze jours plus tard. Backdoor.Goodor est un cheval de Troie qui fournit aux attaquants un accès à distance sur la machine de la victime.
Le troisième exploit utilisé pour infecter les systèmes des entreprises ciblées est l’ajout de chevaux de Troie dans des applications légitimes. Pour ces récentes campagnes également, le groupe a utilisé ce moyen et particulièrement le framework Shellter pour développer des applications contenant des chevaux de Troie. Les applications connues comme ayant été modifiées par le groupe sont des applications standard de Windows dans lesquelles le malware Backdoor.Dorshel aurait été ajouté.
D’autres éléments à la disposition de Symantec tendraient également à prouver que des mises à jour falsifiées du plug-in Flash auraient été utilisées pour installer des portes dérobées sur les réseaux des personnes ciblées. Et à partir de ces portes dérobées, les attaquants pourraient s’infiltrer dans les systèmes des victimes pour installer d’autres outils si nécessaire.
Comme on peut le constater, Dragonfly 2.0 serait actuellement au stade de la collecte d’informations dans les différents pays cités plus haut. Mais généralement, ces activités sont des signes avant-coureurs des attaques de sabotage des systèmes opérationnels des entreprises énergétiques, note Symantec.
Bien que de nombreux forfaits aient été déjà attribués à des pirates russes, Symantec précise que le code du malware qui a été analysé par leurs soins montre des caractères en russe, mais aussi en français, ce qui indique qu’il est trop pour donner des certitudes sur les auteurs de ces nouvelles campagnes.
Source : Symantec
Et vous ?
Ces alertes d’attaques futures des entreprises énergétiques frisent-elles la paranoïa, selon vous ;? Ou doit-on réellement s’attendre à des attaques provoquant des coupures d’électricité ;dans des pays ? Quelle solution peut-on envisager pour prévenir ces attaques si elles devaient survenir ?Voir aussi
Des hackers utilisent un malware pour faire tomber le réseau électrique dans l’ouest de l’Ukraine Industroyer : un malware conçu pour prendre le contrôle des lignes électriques est celui qui a récemment plongé Kiev dans le noir 
russe qui essaye encore de se jouer du monde occidental. Dommage
