Pour la seconde fois en deux ans, des chercheurs en sécurité ont déterminé que des pirates informatiques ont causé une panne de courant en Ukraine qui a laissé les clients sans électricité en fin décembre, généralement l'un des mois les plus froids dans ce pays. L’attaque de décembre 2015, qui a fait perdre l’électricité à plus de 225 000 Ukrainiens, a été la première instance connue mettant sur scène quelqu’un qui se sert de logiciels malveillants pour générer une panne de courant dans le monde réel.
Un an plus tard, rebelote : une panne d’électricité dans la capitale. Pour l’entreprise de cybersécurité Information Systems Security Partners (ISSP), qui a analysé la situation pour le compte de la société nationale d'énergie Ukrenergo, il ne fait aucun doute qu’il s’agit d’une cyberattaque : « les attaques en 2016 et 2015 n'étaient pas très différentes en dehors du fait que les attaques de 2016 sont devenues plus complexes et beaucoup mieux organisées », a assuré Oleksii Yasnskiy, responsable des laboratoires de l'ISSP.
Mais l’entreprise va plus loin et pense également que cette attaque pourrait être liée à une série d'autres attaques qui ont frappé d'autres cibles ukrainiennes de grande valeur dans les secteurs commerciaux et gouvernementaux comme le système ferroviaire national, plusieurs ministères et un fonds de pension national. Les attaques ont commencé le 6 décembre et ont duré jusqu'au 20 décembre. Les sites du ministère des finances et du trésor public ont été bloqués pendant deux jours, d’après un média local. Ce dernier a également rapporté que les attaquants ont endommagé des équipements et détruit des bases de données essentielles au Trésor et à la Caisse de retraite. En conséquence, des paiements de centaines de millions d’Hryvania ukrainienne (la devise nationale) ont été bloqués. La panne de courant du 17 décembre était le résultat d'une attaque au poste de Pivnichna à l'extérieur de Kiev qui a commencé peu avant minuit. Elle a duré environ une heure.
Pour Yasnskiy, différents groupes criminels y ont travaillé ensemble et cette série d’attaques semble être une phase de test de techniques qui pourraient être utilisées ailleurs dans le monde pour le sabotage d’infrastructures. Ils ont collaboré entre autres pour rassembler des mots de passe pour des serveurs et postes de travail ciblés, puis créé des logiciels malveillants adaptés à leurs cibles.
Yasynskyi a présenté quelques-unes des conclusions de l'enquête à la conférence S4 en Floride, avec Marina Krotofil, un chercheur ukrainien pour le compte d’Honeywell Industrial Cyber ​​Security Lab qui a assisté avec une partie de l'enquête. Il a affirmé que que les attaquants se sont resservis de plusieurs outils, parmi lesquels le framework BlackEnergy et le logiciel malveillant d’effacement de disque baptisé KillDisk. Les brèches proviennent d'une campagne de phishing massive qui a visé les organisations gouvernementales en juillet et a permis aux attaquants d’être infiltrés pendant des mois avant de lancer les hostilités en décembre dernier. Mais l'enquête ne pourra être complète que plus tard cette année. « La quantité de logs est gigantesque. Il faudra des mois pour étudier », a expliqué Krotofil.
Dans l'attaque de 2015, les pirates ont mené une attaque coordonnée contre trois sociétés de distribution d'électricité, qui ont laissé des clients sans électricité pendant trois à six heures. Les pirates ont écrasé le microprogramme sur les unités de terminaux distants, ou RTU, qui contrôlaient les disjoncteurs de sous-stations. Cela a essentiellement empêché les ingénieurs de restaurer la puissance à distance. Les techniciens devaient se rendre dans les sous-stations pour rétablir le courant. Les pirates ont également utilisé le logiciel malveillant KillDisk, qui a écrasé les fichiers système critiques sur les machines opérateur, les faisant alors devenir inutilisables.
Cette fois-ci, les hackers ont simplement fermé les RTU, ce qui rend plus facile à restaurer la puissance une fois que les RTU ont été réengagés. IIs ne se sont plus attaqués aux machines opérateur. Raison pour laquelle Krotofil a estimé que « l'attaque n’avait pas pour but d’avoir des conséquences dramatiques ». Et de continuer en disant « qu’ils pouvaient faire beaucoup plus de choses, mais il apparaît qu’il n’en avaient pas l’intention. C'était plutôt une démonstration de capacités »
Les chercheurs ont assuré que les attaques montrent que l'Ukraine « est devenue une aire de jeux pour la recherche et le développement de nouvelles techniques d'attaque », des attaques qui seront probablement utilisées ailleurs une fois que les pirates les auront affiné.
« L'Ukraine utilise l'équipement et les protections de sécurité des mêmes fournisseurs que les autres pays dans le monde », a rappelé Krotofil. « Si les attaquants apprennent comment contourner ces outils et appareils dans les infrastructures ukrainiennes, ils pourront alors directement se rendre à l'Ouest ».
Source : BBC, Dark Reading
Des pirates provoquent une nouvelle panne d'électricité en Ukraine
La campagne d'attaques a ciblé d'autres infrastructures sensibles
Des pirates provoquent une nouvelle panne d'électricité en Ukraine
La campagne d'attaques a ciblé d'autres infrastructures sensibles
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !