BlackEnergy revient, utilisé pour causer des pannes d’électricité

Le cheval de Troie BlackEnergy vient de réapparaître en Ukraine, où il est notamment utilisé pour provoquer des pannes d’électricité. En septembre 2014, les chercheurs d’Eset s’étaient penchés sur ce logiciel malveillant pour souligner son évolution fonctionnelle. De fait, lors de son examen en 2007 par Arbor Networks, BlackEnergy n’était encore qu’un cheval de Troie conçu pour lancer des attaques en déni de service distribué. L’an dernier, Eset le présentait comme « un logiciel malveillant sophistiqué doté d’une architecture modulaire, et adapté à l’envoi de pourriels mais aussi à la fraude bancaire ou encore aux attaques ciblées » ; il avait alors été utilisé dans des opérations d’espionnage en Ukraine et en Pologne. Un an plus tard, BlackEnergy est de retour en Ukraine.

Le 23 décembre 2015, la moitié des foyers de la région d’Ivano-Frankivsk, dans l’ouest de l’Ukraine, ont été privés d’électricité durant plusieurs heures. Selon la publication locale TSN, cette coupure de courant aurait été provoquée par « une attaque de pirates » informatiques. Dans un billet de blog, les chercheurs d’Eset ne confirment pas ce qui serait une première, mais soulignent que l’incident n’est pas isolé et que BlackEnergy a été utilisé dans de nombreuses attaques visant les secteurs des médias et de l’énergie avec, en particulier, une charge utile destructrice : KillDisk, un composant qui écrit des données aléatoires sur le disque dur de la machine compromise jusqu’à en rendre le démarrage impossible.

Dans un entretien avec Reuters, Kyle Wilhoit, chercheur chez Trend Micro, fait le lien : « c’est la première fois que nous avons la preuve et que nous pouvons établir le lien entre un logiciel malveillant et une panne […] C’est assez inquiétant ». Même son de cloche du côté de John Hultquist, d’iSight Partners : « il y a un consensus assez fort selon lequel la coupure d’électricité a été provoquées par une attaque sur un réseau informatique ».

Selon Eset, BlackEnergy est généralement distribué par hameçonnage ciblé. CyS Centrum a d’ailleurs publié deux copies d’écran de tels courriels.

Si la sécurité des systèmes de contrôle industriels (Scada) fait l’objet d’alertes régulières depuis plusieurs années, et tout particulièrement après Stuxnet, la prise de conscience ne semble pas encore là. Et cela malgré un contexte réglementaire de plus en plus strict.

En septembre dernier, Frost & Sullivan soulignait ainsi que les technologies de l’information et les technologies opérationnelles continuent d’évoluer dans deux sphères trop distinctes pour que la sécurité des systèmes industriels progresse.

Quelques semaines plus tard, c’était au tour de Chatham House d’indiquer que le risque d’attaque informatique sur des centrales nucléaires va croissant, notamment du fait d’un recours toujours plus grand aux systèmes numériques et aux logiciels sur étagères. Et de souligner en particulier que « toutes les centrales nucléaires en France sont connectées à Internet ».

Avec nos confrères de ComputerWeekly (groupe TechTarget).