Ukraine : des coupures d’électricité déclenchées via cyberattaque

Début janvier, le logiciel malveillant BlackEnergy était accusé de complicité dans les attaques des systèmes d’information de médias et d’énergéticiens en Ukraine. Ces dernières ont conduit, le 23 décembre dernier, à une vaste coupure d’électricité dans la région d’Ivano-Frankivsk, dans l’ouest du pays.

Quelques jours plus tard, dans un billet de blog, Michael Assante, directeur des activités du SANS liées à la sécurité des systèmes de contrôle industriel, le SANS-ICS, confirmait ce qui constitue une première : « il est clair que des cyberattaques ont été directement responsables de coupures d’électricité en Ukraine ». Mais il apportait également des éléments supplémentaires. En particulier, la synthèse de ce co-fondateur de NexDefense, un spécialiste de la protection des systèmes Scada, mettait en évidence une opération impressionnante de coordination.

Aujourd’hui, l’ICS-Cert américain, confirme pour l’essentiel ces éléments, en s’appuyant notamment sur des entretiens avec les énergéticiens affectés. Selon le Cert, les attaques sur chaque entreprise sont survenues en l’espace de 30 minutes l’une après l’autre. Les pirates ont alors utilisé « soit des outils d’administration à distance au niveau du système d’exploitation, soit des logiciels clients de contrôle industriel à distance via des connexions VPN ». Les énergéticiens concernés estiment que les attaquants « ont acquis des identifiants légitimes avant l’attaque, pour faciliter l’accès à distance ».

Le logiciel malveillant KillDisk a bien été utilisé pour effacer certains systèmes compromis, « à la conclusion de l’attaque ». Mais des cartes Série/Ethernet ont également été rendues inutilisables « en corrompant leur firmware » et des onduleurs pour serveurs ont été coupés via leur interface d’administration à distance. Le tout, selon l’ICS-Cert, pour « interférer avec les efforts de restauration ».

Mais le rôle de BlackEnergy reste encore à déterminer. Il pourrait avoir été utilisé comme vecteur de compromission initial, afin d’obtenir les identifiants nécessaires aux attaques, mais cette assertion « est encore en cours d’évaluation. Il est important de souligner que n’importe quel cheval de Troie d’accès distant aurait pu être utilisé et qu’aucune des capacités spécifiques de BlackEnergy n’a été utilisée ».