Le 23 décembre dernier, l'Ukraine aurait été victime de la première tentative réussie de piratage d'un réseau de fourniture d'électricité, provoquant pendant quelques heures une panne d'approvisionnement pour plus de 1,4 million d'habitants.

La coupure d’électricité provoquée à distance par des hackers en cliquant sur un bouton est un scénario bien connu des films hollywoodiens. Mais c’est désormais une réalité que les pays doivent prendre en compte et contre laquelle ils doivent s’armer.

L’Ukraine avait en effet annoncé le 31 décembre dernier le lancement d’une enquête pour vérifier si une cyberattaque était à l’origine de la panne qui a privé d’électricité près de 1,5 million d’Ukrainiens le 23 décembre 2015. Or selon plusieurs cabinets d’experts en sécurité informatique cités par Ars Technica, c’est bien un malware qui aurait infecté le réseau du fournisseur Prykarpattya Oblenergo, dans l’ouest du pays, à Ivano-Frankivsk. Il aurait été activé pour couper les lignes, ce qui est une première.

Ivano-Frankivsk
Ivano-Frankivsk

« C’est une étape clé parce que nous avions bien vu des événements ciblés destructeurs contre l’énergie auparavant — tels que des industries pétrolières —, mais jamais d’événement qui provoque un blackout », explique au site John Hultquist, un cadre de la firme iSIGHT Partners qui affirme avoir découvert des souches du malware chez trois fournisseurs régionaux d’énergie en Ukraine.

Ses dires sont confirmés par le cabinet ESET, qui précise que des installations ukrainiennes auraient été infectées par une version mise à jour de BlackEnergy, un malware à modules découvert pour la première fois en 2007. Entre autres fonctionnalités, BlackEnergy permet d’effacer le secteur de boot d’un disque dur pour empêcher le redémarrage du système d’exploitation, et peut effacer des données voire rendre inutilisable un disque dur, grâce au module KillDisk ajouté récemment. Il offre aussi un backdoor avec un shell SSH qui donne aux assaillants un moyen d’accéder aux ordinateurs infectés et d’en prendre le contrôle.

Le trojan Blackenergy dans un document Excel

Plus grave peut-être, le malware intègre aussi un module permettant d’avoir accès aux  systèmes de contrôle et d’acquisition de données (SCADA), utilisés par les industries pour piloter leurs installations.

Selon ESET qui a publié un billet de blog pour faire part de ses découvertes, KillDisk aurait en effet été mis à jour pour saboter deux processus, dont le système Eltima qui permet de piloter via une interface Ethernet des appareils connectés en ports série. Même si le cabinet se garde d’affirmer que c’est bien ce malware qui est à l’origine de la panne, il prévient que sa découverte sur les réseaux des fournisseurs d’énergie rend ce scénario sinon probable, au moins possible.

Le plus surprenant et affligeant et que l’attaque aurait été réalisée en infectant les machines grâce à des macros dans des documents Microsoft Office,envoyés par e-mail à des cibles identifiées. Pour flouer les destinataires, un e-mail paraissait provenir du Parlement, et contenait un message encourageant à ouvrir le document vérolé.

BlackEnergy

En 2014, le même trojan BlackEnergy avait été découvert sur des ordinateurs de l’administration et de médias ukrainiens, au moment des élections. Son créateur, un groupe de hackers sophistiqué que iSIGHT appelle le « gang Sandworm », aurait des liens avec la Russie, même si aucune preuve n’existe pour l’affirmer.

Par le passé, le même groupe avait attaqué l’OTAN et différents sites industriels européens.

Partager sur les réseaux sociaux

Articles liés