Le Computer Emergency Response Team ukrainien annonce avoir fait échouer une attaque ciblant son réseau électrique. Cette attaque aurait été lancée par Sandworm, un groupe lié au service secret russe.
Les agresseurs auraient tenté de désactiver différentes sous-stations électriques d’un fournisseur non nommément cité. Ils ont exploité à cette fin une nouvelle version du maliciel Industroyer. Le jour de Noël 2016, ce dernier avait déjà provoqué un black-out dans de grandes parties de l’Ukraine.
Des chercheurs de la firme de sécurité ESET ont entre-temps passé en revue le malware. Dans un communiqué de presse, ils affirment à présent être quasiment certains que ce malware, spécifiquement destiné à des contrôleurs industriels, a été conçu avec le code-source de l’Industroyer ‘original’ qui avait été déployé en 2016.
ESET a dès lors appelé la nouvelle variante ‘Industroyer2’ qui a apparemment été déployée dans une tentative d’endommager des stations à haute tension, comme l’écrit l’entreprise dans son analyse. Le malware a été utilisé en combinaison avec une série de maliciels ‘wiper’ (d’effacement) ayant principalement comme but de détruire des données. On y trouve notamment CaddyWiper, qui s’était précédemment déjà manifesté lors de la guerre en Ukraine et qui avait ciblé des systèmes Windows en vue apparemment d’effacer des traces.
Selon le CERT ukrainien, les agresseurs ont eu accès aux systèmes avant le 22 février et envisageaient d’interrompre l’électricité dans une région du pays le 8 avril. On ignore comment les pirates ont réussi à s’infiltrer dans les systèmes du fournisseur d’électricité, mais le CERT affirme avoir repoussé provisoirement l’attaque.
Cyber-guerre
Il s’agit là de la énième cyber-attaque dans le pays avec comme objectif évident de soutenir l’invasion militaire russe. Des firmes de sécurité, dont ESET, ont précédemment déjà découvert plusieurs wipers qui ont été déployés en Ukraine depuis le début de la guerre contre des cibles infrastructurelles, des institutions publiques, voire des réseaux de satellites. Les services de sécurité américains ont, à les entendre, la semaine dernière encore désactivé un botnet qui était utilisé par Sandworm, alors que Microsoft prétend avoir supprimé du net des domaines exploités par Fancy Bear, lui aussi un groupe lié au service secret russe.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici