Black-out: l’ombre des pirates
En Ukraine, une cyber-attaque inédite d’un réseau d’électricité intrigue les experts en sécurité IT et systèmes industriels. L’analyse du SANS ICS.
Le cyber-assaut qui a touché fin 2015 des centrales électriques en Ukraine est plus complexe qu’on l’imaginait. Une attaque inédite visant à toucher des infrastructures vitales d’un pays, qui a intrigué le SANS ICS.
Une analyse du groupe d’experts spécialisé dans la sécurité des systèmes industriels (SCADA) fait apparaître un enchevêtrement d’éléments qui a abouti à l’interruption volontaire mais momentanée de la distribution d’électricité dans une région d’Ukraine.
Selon les premiers éléments relayés dans la sphère de la sécurité IT, le rôle du duo de malware BlackEnergy/Killdisk semblait primordial. C’est plus nuancé.
En fait, le SANS ICS évoque plutôt une combinaison de plusieurs éléments pour aboutir à cette coupure régionale de courant ayant touché plusieurs compagnies d’électricité comme Prykarpattyaoblenergo et Kyivoblenergo.
Rappelons les faits : le 23 décembre 2015, la moitié de la zone d’Ivano-Frankivsk (ouest de l’Ukraine, 1,4 million d’habitants) se retrouve dépourvue d’électricité pendant quelques heures. 80 000 foyers auraient été temporairement affectés.
Le malware BlackEnergy et son composant KillDisk ont été initialement mis en cause mais le groupe SANS ICS privilégie l’approche d’une « attaque intentionnelle coordonnée » aux contours indécis pour cet assaut pré-Noël.
Il retient pour son analyse des « évènements destructeurs » ayant touché trois relais de centrales électriques.
« Les assaillants ont démonté leur capacité à planifier, coordonner, et exploiter le malware avec un possible accès direct à distance pour rendre des postes sources aveugles, ce qui a provoqué des changements indésirables à l’infrastructure de distribution d’électricité. »
Tout en poursuivant : « Ils ont également essayé de retarder la remise du service en effaçant les données des serveurs SCADA après avoir provoqué la panne », estime Michael J. Assante.
Le directeur du groupe SANS ICS recense trois vecteurs combinés pour l’attaque : le malware BlackEnergy, un déni de service sur le réseau téléphonique et « une pièce manquante d’une preuve sur la véritable cause qui a abouti à cet impact ». Cet élément mystérieux serait davantage lié aux assaillants qu’à l’œuvre du malware intrinsèquement.
Le groupe d’experts en sécurité pour les systèmes industriels écartent l’hypothèse de l’exploitation de BlackEnergy (et de son composant KillDisk) comme facteur direct déclencheur de la panne. Tout comme la piste d’une éventuelle propagation par le biais de la diffusion de documents issus de la suite bureautique Microsoft Office infectés.
Néanmoins, le SANS ICS admet que le malware a facilité la préparation de l’assaut en donnant un accès au réseau et aux informations de première importance.
Le groupe d’experts reconnaît également qu’il lui manque des éléments de compréhension pour avoir une vision complète du schéma de l’attaque.
On peut également se poser des questions sur les auteurs de ce méfait. Mais, sur fond de tensions géopolitiques entre la Russie et l’Ukraine, l’implication du camp adverse est fortement suggérée.
(Crédit photo : Shutterstock.com / TebNad)