Ukraine : le réseau électrique a été visé par une cyberattaque

Mi-2017, Eset levait le voile sur Industroyer, parallèlement à Dragos qui l’appelait Crashoverride. Ce maliciel aurait été à la manœuvre fin décembre 2015, lorsque que la sous-station de Pivnichna, en banlieue de Kiev, a été la cible d’une cyberattaque. La capitale ukrainienne a alors été privée d’un cinquième de sa puissance consommée. C’était la seconde attaque informatique visant les réseaux électriques du pays en un an. La précédente, remontéant à décembre 2015, avait impliqué BlackEnergy.

Dans son analyse, Eset soulignait alors la modularité de l’outillage, avec des composants permettant d’attaquant différents protocoles ICS/Scada, mais également un module d’effacement de données, plusieurs portes dérobées – avec des mécanismes de communication via Tor qui peuvent être limités aux heures non ouvrées –, etc.

Des chercheurs d’Eset ont rapporté ce 12 avril que des attaquants russes ont visé des centrales énergétiques en Ukraine dans le but de mettre hors service des infrastructures critiques. Le logiciel malveillant utilisé, baptisé Industroyer2, se concentre sur les équipements contrôlant les flux d’eau, l'utilisation d'agents de nettoyage et d'autres systèmes embarqués qui permettent aux systèmes de gestion de l’eau de fonctionner efficacement.

Eset et le Cert national ukrainien (CERT-UA) pensent tous deux que le gouvernement russe a lancé cette attaque dans le but de perturber l'alimentation électrique et les communications informatiques au sein du gouvernement ukrainien. Plus précisément, les deux organisations ont attribué les attaques au groupe Sandworm, soupçonné d’être soutenu par l'État russe. Des attaques impliquant des logiciels malveillants destructeurs survenues en Ukraine, au cours des derniers mois, lui ont été attribuées.

Selon les analystes d'ESET, le malware Industroyer2 a été utilisé dans un objectifs très spécifique : « Industroyer2 a été déployé sous la forme d'un seul exécutable Windows nommé 108_100.exe et exécuté à l'aide d'une tâche planifiée le 8 avril 2022 à 16:10:00 UTC ». Et de préciser que l’exécutable « a été compilé le 23 mars 2022, selon l'horodatage PE, ce qui suggère que les attaquants avaient planifié leur attaque depuis plus de deux semaines ».

Le CERT-UA a déclaré, dans un avis de sécurité, que l'attaque Industroyer2 a touché une seule organisation ukrainienne non nommée en deux vagues distinctes, mais que celle-ci n'a apparemment pas réussi à déclencher une panne du réseau électrique et que « la mise en œuvre du plan malveillant a jusqu'à présent été empêchée ».

Les chercheurs d’Eset souligne toutefois une spécificité d’Industroyer2 par rapport à son aîné : le premier « stockait la configuration dans un fichier .INI séparé », tandis que la configuration du second est embarqué en dur, dans le code. Dès lors, « les attaquants doivent recompiler Industroyer2 pour chaque nouvelle victime ou environnement ».