ESET Research : retour d’Industroyer, une cyber-arme qui a détruit un réseau électrique
Publié le 14/06/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 12 juin 2017, les chercheurs d'ESET publiaient leurs conclusions (ESET researchers published their findings) sur des logiciels malveillants capables de provoquer une panne généralisée. Industroyer, comme ils l'ont nommé, a été le premier maliciel connu développé spécifiquement pour cibler un réseau électrique.
Industroyer, déployé avec des conséquences considérables quelques mois plus tôt, avait provoqué la perte de l’alimentation électrique pour des milliers de foyers dans certaines parties de Kiev, le 17 décembre 2016, quand le maliciel avait frappé une sous-station électrique locale. Quelques jours plus tard, Anton Anton Cherepanov, chercheur en maliciels chez ESET, commencerait à disséquer Industroyer.
Une bombe à retardement
Une fois installé, Industroyer s'est répandu dans tout le réseau de la sous-station cherchant des dispositifs de contrôle spécifiques dont il pourrait « parler » la langue des protocoles de communication. Puis, comme une bombe à retardement qui explose, il a ouvert simultanément tous les disjoncteurs, empêchant toute tentative des opérateurs de la sous-station de reprendre le contrôle. Si un opérateur tentait de fermer un disjoncteur, le logiciel malveillant le rouvrait.
Pour supprimer son empreinte, le logiciel malveillant a déclenché un effaceur de données conçu pour rendre les ordinateurs de la sous-station inutilisables et retarder le retour aux opérations normales. L’effaceur tombait souvent en panne, mais s'il avait mieux réussi, les conséquences auraient été pires, surtout en hiver, lorsqu’une panne de courant fait que des tuyaux pleins d'eau gèlent et éclatent.
Le dernier acte malveillant du maliciels : désactiver certains relais de protection de la sous-station, mais cela aussi a échoué. Sans relais de protection fonctionnels en place, l'équipement de la sous-station aurait pu être exposé à un haut risque de dommages lorsque les opérateurs ont finalement rétabli la transmission électrique.
Comme Cherepanov et son collègue Robert Lipovsky (Robert Lipovsky said at the time), l'ont dit à l'époque, la sophistication d'Industroyer permet d'adapter le malware à n'importe quel environnement similaire. Les protocoles de communication industrielle qu’Industroyer « parle » sont utilisés non seulement à Kiev, mais aussi "dans le monde entier dans les infrastructures d'alimentation électrique, les systèmes de contrôle des transports et d'autres systèmes d'infrastructure critiques (tels que l'eau et le gaz)".
D'autre part, vu la sophistication d'Industroyer, son impact a été décevant, comme l'ont noté les chercheurs d'ESET en 2017 (ESET researchers noted themselves). Ce n’était peut-être qu'un test pour de futures attaques, ou un exemple de ce que le groupe derrière ce maliciel peut faire.

Les activités de Sandworm
Les chercheurs d'ESET ont remarqué que les manigances du maliciel reflètent les intentions malveillantes de ceux qui l'ont créé. Lors d'une conférence Virus Bulletin en 2017, Lipovsky a souligné que «les attaquants devaient comprendre l'architecture d'un réseau électrique, quelles commandes envoyer et comment cela serait réalisé». Les développeurs ont parcouru un long chemin pour créer ce maliciel et leur objectif n'était pas qu’une simple panne de courant. "Certains indices dans la configuration d'Industroyer suggèrent qu'ils voulaient endommager l'équipement et créer des dysfonctionnements".
A Black Hat 2017 (At Black Hat 2017), Cherepanov a également expliqué qu'il « semble peu probable que quiconque puisse écrire et tester de tels maliciels sans avoir accès à l'équipement spécialisé utilisé dans l'environnement industriel spécifique et ciblé ».
En octobre 2020, les États-Unis ont attribué l'attaque à six officiers appartenant à Sandworm, un surnom de l'unité 74455 de l'agence de renseignement militaire russe GRU.
Le comeback d’Industroyer
Il n'est donc pas surprenant que dans les semaines juste avant et après l'invasion de la Russie le 24 février, la télémétrie ESET ait montré (ESET telemetry showed) une augmentation des cyberattaques ciblant l'Ukraine.
Le 12 avril, en collaboration avec le CERT-UA, les chercheurs d'ESET ont annoncé avoir identifié une nouvelle variante d'Industroyer, ciblant un fournisseur d'énergie en Ukraine. Industroyer2 devait couper le courant dans une région d'Ukraine le 8 avril mais, l'attaque a été déjouée avant qu'elle ne puisse causer de nouveaux dégats dans un pays déchiré par la guerre. Les chercheurs d'ESET ont évalué que Sandworm était à nouveau responsable de cette attaque.
Un signe avant-coureur
Récemment, il est devenu plus évident que les services d'infrastructure critiques, au niveau mondial, courent de gros risques de perturbations. Les incidents qui ont touché les infrastructures critiques en Ukraine (et dans d'autres parties du monde) ont sensibilisé le public aux risques de pannes d’électricité suites à des cyberattaques, d'interruptions de l'approvisionnement en eau, de perturbations de la distribution de carburant, de perte de données médicales et de nombreuses autres conséquences pouvant faire bien plus que perturber nos routines quotidiennes - elles peuvent être véritablement mortelles.
En 2017, Cherepanov et Lipovsky concluaient leur blog (research blog) par un avertissement qui, cinq ans plus tard, est toujours d'actualité : « Que la récente attaque contre le réseau électrique ukrainien ait été ou non un test, elle doit servir de coup de semonce pour les responsables de la sécurité des systèmes critiques dans le monde entier ».
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2022 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?