Plus de la moitié une décennie s’est écoulée depuis que les pirates russes notoires connus sous le nom de Sandworm ont ciblé une station de transmission électrique au nord de Kiev une semaine avant Noël en 2016, en utilisant un code unique et automatisé pour interagir directement avec les disjoncteurs de la station et éteindre les lumières à un fraction du capital de l’Ukraine. Ce spécimen sans précédent de logiciel malveillant de système de contrôle industriel n’a jamais été revu – jusqu’à présent : au milieu de l’invasion brutale de l’Ukraine par la Russie, Sandworm semble sortir ses vieux tours.
Mardi, l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) et la société slovaque de cybersécurité ESET ont publié des avis indiquant que le groupe de pirates informatiques Sandworm, confirmé être l’unité 74455 de l’agence de renseignement militaire russe GRU, avait ciblé des sous-stations électriques à haute tension en Ukraine en utilisant une variante d’un logiciel malveillant appelé Industroyer ou Crash Override. Le nouveau logiciel malveillant, baptisé Industroyer2, peut interagir directement avec les équipements des services publics d’électricité pour envoyer des commandes aux dispositifs de sous-station qui contrôlent le flux d’énergie, tout comme cet exemple précédent. Cela signale que l’équipe de cyberattaque la plus agressive de Russie a tenté une troisième panne en Ukraine, des années après ses cyberattaques historiques sur le réseau électrique ukrainien en 2015 et 2016, toujours les seules pannes confirmées connues pour avoir été causées par des pirates.
ESET et CERT-UA affirment que le logiciel malveillant a été implanté vendredi sur des systèmes cibles au sein d’une entreprise énergétique régionale ukrainienne. Le CERT-UA indique que l’attaque a été détectée avec succès en cours et arrêtée avant qu’une véritable panne de courant ne puisse être déclenchée. Mais un avis privé antérieur du CERT-UA la semaine dernière, rapporté pour la première fois par MIT Technology Review aujourd’hui, indiquait que l’alimentation avait été temporairement coupée de neuf sous-stations électriques.
CERT-UA et ESET ont refusé de nommer l’utilitaire concerné. Mais plus de 2 millions de personnes vivent dans la zone desservie, selon Farid Safarov, vice-ministre ukrainien de l’énergie.
“La tentative de piratage n’a pas affecté l’approvisionnement en électricité de la compagnie d’électricité. Elle a été rapidement détectée et atténuée”, a déclaré Viktor Zhora, un haut responsable de l’agence ukrainienne de cybersécurité, connue sous le nom de Services d’État pour la protection spéciale des communications et de l’information (SSSCIP). . “Mais la perturbation prévue était énorme.” Interrogé sur le rapport précédent qui semblait décrire une attaque au moins partiellement réussie, Zhora l’a décrit comme un “rapport préliminaire” et s’en est tenu à ses déclarations publiques les plus récentes et à celles du CERT-UA.
Selon le CERT-UA, les pirates ont pénétré le service public d’électricité cible en février, ou peut-être plus tôt – la manière exacte n’est pas encore claire – mais n’ont cherché à déployer la nouvelle version d’Industroyer que vendredi. Les pirates ont également déployé plusieurs formes de logiciels malveillants “d’effacement” conçus pour détruire les données sur les ordinateurs au sein de l’utilitaire, y compris un logiciel d’effacement qui cible les systèmes basés sur Linux et Solaris, ainsi que des essuie-glaces Windows plus courants, ainsi qu’un morceau de code connu sous le nom de CaddyWiper. qui avaient été trouvés à l’intérieur de banques ukrainiennes ces dernières semaines. Le CERT-UA a affirmé mardi qu’il était également capable d’attraper ce malware d’essuie-glace avant qu’il ne puisse être utilisé. “Nous avons eu beaucoup de chance de pouvoir réagir rapidement à cette cyberattaque”, a déclaré Zhora aux journalistes lors d’un point de presse mardi.