Sergii Figurnyi - stock.adobe.co
Comment Moscou aurait essayé de s’en prendre au réseau électrique polonais
Fin décembre dernier, un maliciel destructeur a été utilisé, en vain, pour perturber les communications entre distributeurs d’électricité installation renouvelables. Eset y voit la main de Sandworm et, avec cette entité, celle de Moscou.
Le 13 janvier, le ministre polonais de l’énergie, Milosz Motyka, levait le voile sur une tentative de cyberattaque survenue durant la dernière semaine de décembre 2025.
Selon lui, rapportaient alors nos confrères de Reuters, « l'attaque, qui a échoué, visait à perturber la communication entre les installations d'énergies renouvelables et les opérateurs de distribution d'électricité ». Et de souligner là une nouveauté : précédemment, les tentatives de cyberattaque visaient plutôt les unités de production et les réseaux de transport.
Le gouvernement polonais a immédiatement pointé Moscou, le ministre des affaires numériques indiquant à nos confrères que « le renseignement militaire russe a triplé ses ressources consacrées à ce type d'actions contre la Pologne l'année dernière ».
Varsovie n’est pas seule dans cette attribution : les chercheurs d’Eset viennent de publier leurs conclusions sur cette attaque et sur un maliciel destructeur (ou wiper) utilisé pour la conduire, DynoWiper. Et d’attribuer cette opération à Sandworm.
Sandworm est suivi par Mandiant sous la référence APT44 depuis le printemps 2024. Il est défini par la filiale cybersécurité de Google comme un groupe de menace soutenu par la Fédération de Russie et attribué par plusieurs gouvernements à l’unité 74455, le centre principal des technologies spéciales (GTsST) au sein de la direction principale du renseignement militaire russe (GRU). Mandiant suit les opérations d’APT44 depuis plus de dix ans.
En 2020, six membres de Sandworm ont été inculpés pour des attaques très perturbatrices qui ont déployé le logiciel malveillant NotPetya contre des organisations ukrainiennes en 2017. Sandworm était également responsable de l’attaque par ransomware WannaCry, toujours en 2017 ; ces deux événements ont mis en évidence le risque de propagation des attaques à des entités extérieures à la cible.
« D'après notre analyse du logiciel malveillant et des TTP associées, nous attribuons cette attaque à l'APT Sandworm, alignée sur la Russie, avec un degré de confiance moyen, en raison d'un fort recoupement avec de nombreuses activités de wiper Sandworm précédentes que nous avons analysées », indiquent les chercheurs d'ESET.
Ils relèvent en outre que « l'attaque a eu lieu au plus fort de l'hiver et à l'occasion du 10e anniversaire de l'attaque menée par Sandworm en 2015 contre le réseau électrique ukrainien, la première panne d'électricité causée par un logiciel malveillant, qui avait privé d'électricité environ 230 000 personnes ».
