GreyEnergy: telle est l'appellation donnée par l'entreprise de sécurité ESET au groupe qui, par ses nouveaux Advanced Persistent Threats (APT), "prépare très probablement" de nouvelles cyber-attaques ciblées. Ce nom renvoie à BlackEnergy, ce groupe qui terrorise l'Ukraine depuis des années et qui en décembre 2015 provoqua le tout premier blackout réussi suite à une cyber-attaque. C'est à cette époque du reste que des chercheurs d'ESET découvrirent aussi des traces d'une autre structure de malware portant donc l'appellation GreyEnergy.

Lié à NotPetya

"Nous avons observé que GreyEnergy a été impliqué ces trois dernières années dans des attaques visant des entreprises énergétiques et d'autres cibles importantes en Ukraine et en Pologne", déclare Anton Cherepanov, le senior security researcher qui, chez ESET, dirige l'enquête sur GreyEnergy. Ce qui est d'autant plus inquiétant, c'est que, selon les chercheurs, il existe également des liens évidents avec TeleBots: un autre groupe APT qui s'est fait connaître au niveau mondial avec le sinistre maliciel NotPetya. NotPetya est un malware particulièrement agressif qui efface des disques complets et qui causa de nombreux dommages en 2017. Telebots est aussi lié à Industroyer: le maliciel le plus puissant ciblant spécifiquement les systèmes d'exploitation industriels. Avec succès malheureusement, puisque le deuxième blackout électrique qui toucha Kiev en 2016 a été provoqué par Industroyer.

GreyEnergy ne se limite pas à l'Ukraine

Pourquoi tout cela est-il si important? Parce que les premières traces de GreyEnergy remontent à cette même période. "Mais contrairement au groupe TeleBots mieux connu, GreyEnergy ne se limite pas à l'Ukraine. Provisoirement, il n'a pas provoqué d'importants dégâts. Le groupe veut clairement rester dans l'ombre", explique Anton Cherepanov.

L'analyse de GreyEnergy montre qu'il s'agit d'une structure modulaire similaire au malware de BlackEnergy et de TeleBots. Sa fonctionnalité dépend donc de la combinaison de modules qu'un agresseur lance sur les systèmes qu'il vise. C'est ainsi qu'il existe des modules d'espionnage avec portes dérobées, d'extraction de fichiers, de prise de vue d'écrans ou d'enregistrement de touches de clavier en vue de dérober des mots de passe et autres jetons. ESET n'a par contre pas découvert de modules spécifiques d'attaque de logiciels industriels. "Mais on observe clairement que les opérateurs de GreyEnergy lancent des attaques stratégiques sur des postes de travail intégrant du software SCADA et sur des serveurs", ajoute encore Anton Cherepanov.