La piste du malware se confirme dans l'affaire du mystérieux blackout survenu dans l'ouest de l'Ukraine. Mais l'identité des auteurs de l'attaque reste incertaine.

Qui a bien pu vouloir provoquer une coupure d’électricité dans l’ouest de l’Ukraine ? Un peu plus de deux semaines après les faits, il reste très difficile d’apporter une réponse définitive à cette question. Par contre, il apparaît de plus en plus clair que ce blackout provisoire a été provoqué par un logiciel malveillant, BlackEnergy.

C’est la position que défend l’institut SANS, dont la spécialité est la sécurité des systèmes d’information. Dans un article de blog publié samedi et relayé par Ars Technica, le directeur de la branche ICS (Industrial Control System), qui s’occupe des systèmes de contrôle et d’acquisition de données (SCADA) servant aux industries pour piloter leurs installations, est sans équivoque.

Blackout
Coupure de courant
CC Sebastian Vandrey

« Les assaillants ont fait preuve d’une planification, d’une coordination et d’une habileté dans l’usage des logiciels malveillants et la possibilité de mettre en place un accès direct à distance pour rendre aveugles les répartiteurs du système et provoquer des changements indésirables dans l’infrastructure de distribution d’énergie, ainsi que dans leur tentative de retarder la restauration en vidant les serveurs SCADA » après le blackout.

Les observations effectuées par la société de Michael Assante précisent que le malware n’a été qu’un composant d’une opération qui a également impliqué une attaque par déni de service sur le système téléphonique et ce qui s’apparente à une intervention directe des auteurs de l’attaque, en complément de l’action du logiciel malveillant. Et d’après SANS, ce dernier a eu un rôle assez secondaire dans le blackout.

Le malware BlackEnergy n’a été qu’une pièce d’un puzzle plus complexe.

En revanche, l’institut s’est montré réservé sur le fait que l’attaque ait pu reposer en partie sur l’envoi d’un document vérolé de type Office. Les rapports précédents indiquaient que des machines ont été affectées via des macros dans des documents envoyés par e-mail à des cibles identifiées, via une adresse faisant croire à un courrier provenant du parlement.

L’institut SANS rejoint ainsi la firme iSIGHT Partners et le cabinet ESET, qui commercialise des logiciels antivirus. Ceux-ci avaient également validé l’existence d’un logiciel malveillant en étudiant la situation ukrainienne. Or ce malware n’est pas apparu à partir de rien. Il a été forcément conçu et vérifié par une organisation avant d’être lâché dans la nature. Reste à savoir quelle est cette organisation et à qui elle répond.

L’ombre de la Russie ?

Évidemment, difficile de ne pas penser à la Russie au regard des tensions qui animent les relations entre Moscou et Kiev. La révolution ukrainienne puis la guerre larvée qui a éclaté à l’est du pays dans des territoires majoritairement russophones ont dégradé les relations des deux voisins. Et la Russie fait partie de ces pays qui ont les capacités en informatique pour conduire ce type d’opération.

Les premières traces de BlackEnergy ont été découvertes en 2007 par ESET.

Sept ans plus tard, le logiciel a été détecté dans des ordinateurs de l’administration et de médias locaux, au moment des élections en Ukraine. Et selon iSIGHT, le malware a été justement été mis au point par un collectif appelé le « gang Sandworm » et qui aurait des liens avec le pouvoir du Kremlin. Les cibles de BlackEnergy (OTAN, industries européennes, ordinateurs ukrainiens) tendent à soutenir cette éventualité.

Ce n’est pas la première fois que la Russie est suspectée d’utiliser l’informatique pour faire pression sur ses voisins immédiats. En 2007, l’Estonie a été la victime d’une vague de cyberattaques qui ont affecté le parlement, les banques, les ministères et les médias. L’origine exacte de l’attaque demeure relativement incertaine. Talinn avait pointé du doigt la Russie, qui a bien sûr rejeté ces accusations.

Partager sur les réseaux sociaux

Articles liés