L’ICS-CERT américain vient de publier son rapport sur l’origine du blackout électrique ukrainien survenu en décembre 2015. La cause du malware est confirmée et sans appel.
Le rapport publié jeudi 3 mars par l’équipe de réponse d’urgence pour la sécurité informatique des systèmes de contrôle industriels (ICS-CERT) du département de la Sécurité intérieure des Etats-Unis (DHS) est sans appel et sonne comme un avertissement pour les experts en cyber-sécurité industrielle : le blackout électrique survenu en Ukraine en décembre 2015 a bien été causé par des pirates informatiques et un malware.
Cela confirme donc les conclusions du SANS ICS, et entérine l’événement comme étant la première attaque réussie sur un réseau électrique d’un pays. Le bilan est lourd et démontre que cette série de cyberattaques était très bien organisée : les intrusions dans le réseau de trois opérateurs énergétiques ont impacté environ 225 000 clients ukrainiens, et les conséquences se font encore sentir actuellement étant donné que les dégâts sont longs à réparer.
L’ICS-CERT parvient à la conclusion que les cyberattaques ont été coordonnées de telle manière à se produire à 30 minutes d’intervalle sur chaque réseau électrique. Les attaquants ont pu être en mesure de prendre le contrôle de l’ensemble des systèmes informatiques à distance, en ayant des accès VPN dérobés au préalable. Le malware KillDisk a ensuite été injecté dans le réseau interne des centrales.
Reste à savoir si le malware BlackEnergy a joué un rôle crucial dans l’attaque, ce qui n’est toujours pas avéra à ce jour par ce dernier rapport. Notons que l’ICS-CERT se base sur les témoignages du personnel IT de six organisations ukrainiennes qui ont été directement témoins des événements, et pas sur une analyse technique du code ou du matériel impliqué dans l’incident.
D’après les experts en cyber-sécurité industrielle mondiaux, ce type de cyberattaque ne fait malheureusement que commencer…
Source : Usine Digitale