Des pirates provoquent une nouvelle panne d'électricité en Ukraine
La campagne d'attaques a ciblé d'autres infrastructures sensibles

Le , par Stéphane le calme, Chroniqueur Actualités
Pour la seconde fois en deux ans, des chercheurs en sécurité ont déterminé que des pirates informatiques ont causé une panne de courant en Ukraine qui a laissé les clients sans électricité en fin décembre, généralement l'un des mois les plus froids dans ce pays. L’attaque de décembre 2015, qui a fait perdre l’électricité à plus de 225 000 Ukrainiens, a été la première instance connue mettant sur scène quelqu’un qui se sert de logiciels malveillants pour générer une panne de courant dans le monde réel.

Un an plus tard, rebelote : une panne d’électricité dans la capitale. Pour l’entreprise de cybersécurité Information Systems Security Partners (ISSP), qui a analysé la situation pour le compte de la société nationale d'énergie Ukrenergo, il ne fait aucun doute qu’il s’agit d’une cyberattaque : « les attaques en 2016 et 2015 n'étaient pas très différentes en dehors du fait que les attaques de 2016 sont devenues plus complexes et beaucoup mieux organisées », a assuré Oleksii Yasnskiy, responsable des laboratoires de l'ISSP.

Mais l’entreprise va plus loin et pense également que cette attaque pourrait être liée à une série d'autres attaques qui ont frappé d'autres cibles ukrainiennes de grande valeur dans les secteurs commerciaux et gouvernementaux comme le système ferroviaire national, plusieurs ministères et un fonds de pension national. Les attaques ont commencé le 6 décembre et ont duré jusqu'au 20 décembre. Les sites du ministère des finances et du trésor public ont été bloqués pendant deux jours, d’après un média local. Ce dernier a également rapporté que les attaquants ont endommagé des équipements et détruit des bases de données essentielles au Trésor et à la Caisse de retraite. En conséquence, des paiements de centaines de millions d’Hryvania ukrainienne (la devise nationale) ont été bloqués. La panne de courant du 17 décembre était le résultat d'une attaque au poste de Pivnichna à l'extérieur de Kiev qui a commencé peu avant minuit. Elle a duré environ une heure.

Pour Yasnskiy, différents groupes criminels y ont travaillé ensemble et cette série d’attaques semble être une phase de test de techniques qui pourraient être utilisées ailleurs dans le monde pour le sabotage d’infrastructures. Ils ont collaboré entre autres pour rassembler des mots de passe pour des serveurs et postes de travail ciblés, puis créé des logiciels malveillants adaptés à leurs cibles.

Yasynskyi a présenté quelques-unes des conclusions de l'enquête à la conférence S4 en Floride, avec Marina Krotofil, un chercheur ukrainien pour le compte d’Honeywell Industrial Cyber ​​Security Lab qui a assisté avec une partie de l'enquête. Il a affirmé que que les attaquants se sont resservis de plusieurs outils, parmi lesquels le framework BlackEnergy et le logiciel malveillant d’effacement de disque baptisé KillDisk. Les brèches proviennent d'une campagne de phishing massive qui a visé les organisations gouvernementales en juillet et a permis aux attaquants d’être infiltrés pendant des mois avant de lancer les hostilités en décembre dernier. Mais l'enquête ne pourra être complète que plus tard cette année. « La quantité de logs est gigantesque. Il faudra des mois pour étudier », a expliqué Krotofil.

Dans l'attaque de 2015, les pirates ont mené une attaque coordonnée contre trois sociétés de distribution d'électricité, qui ont laissé des clients sans électricité pendant trois à six heures. Les pirates ont écrasé le microprogramme sur les unités de terminaux distants, ou RTU, qui contrôlaient les disjoncteurs de sous-stations. Cela a essentiellement empêché les ingénieurs de restaurer la puissance à distance. Les techniciens devaient se rendre dans les sous-stations pour rétablir le courant. Les pirates ont également utilisé le logiciel malveillant KillDisk, qui a écrasé les fichiers système critiques sur les machines opérateur, les faisant alors devenir inutilisables.

Cette fois-ci, les hackers ont simplement fermé les RTU, ce qui rend plus facile à restaurer la puissance une fois que les RTU ont été réengagés. IIs ne se sont plus attaqués aux machines opérateur. Raison pour laquelle Krotofil a estimé que « l'attaque n’avait pas pour but d’avoir des conséquences dramatiques ». Et de continuer en disant « qu’ils pouvaient faire beaucoup plus de choses, mais il apparaît qu’il n’en avaient pas l’intention. C'était plutôt une démonstration de capacités »

Les chercheurs ont assuré que les attaques montrent que l'Ukraine « est devenue une aire de jeux pour la recherche et le développement de nouvelles techniques d'attaque », des attaques qui seront probablement utilisées ailleurs une fois que les pirates les auront affiné.

« L'Ukraine utilise l'équipement et les protections de sécurité des mêmes fournisseurs que les autres pays dans le monde », a rappelé Krotofil. « Si les attaquants apprennent comment contourner ces outils et appareils dans les infrastructures ukrainiennes, ils pourront alors directement se rendre à l'Ouest ».

Source : BBC, Dark Reading


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de domi65 domi65 - Membre actif https://www.developpez.com
le 12/01/2017 à 11:40
Des pirates provoquent une nouvelle panne d'électricité en Ukraine

C'est pratique. Maintenant, si d'aventure il y a quelque panne que ce soit dans n'importe quelle partie du monde, la cause sera connue : une attaque de Poutine.
Avatar de Grogro Grogro - Membre expert https://www.developpez.com
le 12/01/2017 à 12:12
Citation Envoyé par domi65  Voir le message
C'est pratique. Maintenant, si d'aventure il y a quelque panne que ce soit dans n'importe quelle partie du monde, la cause sera connue : une attaque de Poutine.

Après tout, dans virus il y a "russe". C'est une signature suffisante pour nos amis les jacassants, non ?
Avatar de Tagashy Tagashy - Membre actif https://www.developpez.com
le 12/01/2017 à 14:33
KillDisk n'est pas un logiciel malveillant.
Il s’agit d'un logiciel d'effacement de disque totalement légal son but premier est d'effacer les disque dur certes mais l'utilisation de ce logiciel est majoritairement pour ne pas avoir de trace sur le disque de ce qui y as été écris, il est majoritairement utiliser par les entreprise qui donnent leur ancien pc aux association de charité et aux écoles mais qui ne veulent pas que ces pc puissent être utiliser pour retrouver leur donnée confidentiel (merci captain obvious).

Et pour information on l'utilisais quand j’étais en BTS pour formater les machines de façon a ce que chaque étudiants ais une machine propre et personnel pour les cours ...

pour information voilà le site officiel de killdisk http://www.killdisk.com effectivement c'est un site de H4X0r trop dark qui veulent faire des DDOS ........
Avatar de Felykanku Felykanku - Membre régulier https://www.developpez.com
le 15/01/2017 à 22:43
On dirait alors que l'Ukraine et la Russie sont actuellement forts en cyberattaque???
Offres d'emploi IT
ANALYSTE D'EXPLOITATION INFORMATIQUE (H/F)
Banque Populaire de Val de France - Centre - Indre-et-Loire (37000)
Full Stack Data Engineer H/F
Sogeti France - Pays de la Loire - Nantes (44000)
ARCHITECTE SI - EDF SA (H/F)
Experis - Ile de France - NANTERRE (92000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil