Ukraine – Le malware BlackEnergy responsable d’une coupure électrique ?

2
194

Le 23 décembre dernier, l’Ukraine aurait été victime de la première tentative réussie de piratage d’un réseau de fourniture d’électricité via un malware, provoquant pendant quelques heures une panne d’approvisionnement pour 1,5 million d’habitants.

UkraineFlagL’Ukraine a en effet annoncé le 31 décembre dernier le lancement d’une enquête pour vérifier si une cyberattaque était à l’origine de la panne qui a privé d’électricité près de 1,5 million d’Ukrainiens le 23 décembre 2015. Or selon plusieurs cabinets d’experts en sécurité informatique cités par Ars Technica, c’est bien un malware qui aurait infecté le réseau du fournisseur Prykarpattya Oblenergo, dans l’ouest du pays, à Ivano-Frankivsk. Le malware BlackEnergie aurait été activé à distance pour couper l’alimentation électrique, ce qui est une première.

Les informations de la presse ukrainienne et de l’éditeur d’antivirus ESET semblent en tout cas confirmer cette piste sérieuse. Selon ESET, qui s’est procuré une copie d’un malware infectant plusieurs centrales électriques dans le pays, la coupure a techniquement pu être causée par le programme baptisé « BlackEnergy », apparu en 2007. Ce dernier est capable de paralyser des postes de travail en effaçant les secteurs de boot des disques durs et de détruire les données présentes sur les disques durs (grâce à son module module “KillDisk”), en plus de déployer silencieusement une porte d’accès dérobée (backdoor) permettant de garder le contrôle distant des machines infectées sous la forme d’un shell SSH.

Le plus étonnant est la technique d’infection utilisée par les cybercriminels dans cette affaire, qui n’est autre que le phishing ! En effet, la cyberattaque aurait été réalisée en infectant les machines grâce à des macros dans des documents Microsoft Office, envoyés par mail à des cibles identifiées, en se faisant passer pour des mails officiels du Parlement…

blackenergy

« C’est une étape clé parce que nous avions bien vu des événements ciblés destructeurs contre l’énergie auparavant — tels que des industries pétrolières —, mais jamais d’événement qui provoque un blackout », explique au site John Hultquist, un cadre de la firme iSIGHT Partners qui affirme avoir découvert des souches du malware chez trois fournisseurs régionaux d’énergie en Ukraine.

Le malware semble avoir été conçu par un gang de cybercriminels appelé « Sandworm », basé en Russie, du nom d’une faille de sécurité qu’il a largement exploitée en 2014, notamment en s’attaquant à des cibles gouvernementales ukrainiennes et polonaises, des médias ukrainiens, et des services de l’OTAN.

Ce n’est pas la première fois que des experts en sécurité alertent à propos des risques de piratage des infrastructures SCADA critiques. L’arsenal destructeur intégré à BlackEnergie est colossal et a de quoi effrayer.

 

Source : Numerama

Les commentaires sont fermés.