Les forces cyber ukrainiennes ont indiqué ce mardi avoir repoussé une attaque informatique visant directement des installations énergétiques. Elles ont notamment reçu le soutien de Microsoft et d'ESET.
Sur terre ou dans le monde cyber, il n'y a pas vraiment de répit pour l'Ukraine. Le CERT-UA, la section d'intervention d'urgence informatique ukrainienne, a publié une note sur son site internet. Elle y révèle la prise de mesures rapides à la suite d'un incident ciblé contre un fournisseur d'énergie du pays, provoqué par des pirates russes. L'équipe gouvernementale indique que l'éditeur antivirus slovaque ESET et Microsoft, références de la réponse aux menaces cyber, ont apporté leur soutien pour repousser l'attaque. Entrons dans le vif du sujet.
Une attaque des équipements énergétiques préméditée
Le CERT-UA explique que l'idée des attaquants était de démanteler et de mettre hors service différentes infrastructures d'ampleur. Plusieurs sous-stations électriques ont été ciblées par le malware Industroyer2 le 8 avril. Ce dernier, un exécutable Windows, est capable, contrairement à son petit frère Industroyer, de communiquer avec plusieurs appareils en même temps. On apprend qu'il a été compilé le 23 mars 2022, ce qui sous-entend que l'attaque était planifiée depuis au moins deux bonnes semaines.
Les forces cyber ukrainiennes ajoutent que des ordinateurs tournant sous Windows, mais aussi des serveurs et postes automatisés ont quant à eux été visés par le malware CaddyWiper. Ce logiciel malveillant, réputé destructeur et découvert par les chercheurs en sécurité d'ESET, détruit les données présentes sur le disque dur et les données utilisateur. Cela laisse des appareils totalement démunis, car le système devient inutilisable et irrécupérable.
D'autres malwares destructeurs ont aussi visé des équipements et systèmes tournant sous Linux et Solaris, toujours dans cette même société énergétique ukrainienne.
Le groupe Sandworm derrière l'attaque et coutumier du fait
Si l'anonymat du fournisseur énergétique est préservé, on sait en revanche que l'entreprise livre de l'électricité dans une zone très peuplée de l'Ukraine. On sait également que cette dernière a subi deux vagues d'attaques, avec une mise en œuvre du plan malveillant qui, heureusement, a été empêchée.
Selon ESET, c'est le groupe APT (groupe spécialisé dans les attaques sournoises destinées à l'espionnage et au vol de données) Sandworm qui est responsable de l'attaque. Ce dernier avait déjà utilisé le malware Industroyer premier du nom en 2016 pour couper le courant en Ukraine.
« À ce stade, nous ne savons pas comment les attaquants ont compromis la victime initiale ni comment ils sont passés du réseau informatique au réseau du système de contrôle industriel (ICS) », indique ESET. L'éditeur n'a pu, avec Microsoft, que bloquer l'attaque avant que des Ukrainiens ne perdent leur accès à l'électricité.
- moodEssai 30 jours
- devices1 à 5 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
