Ukraine : un piratage russe contre le réseau électrique déjoué
Des pirates informatiques militaires russes ont tenté de couper le courant à des millions d’Ukrainiens la semaine dernière lors d’une attaque planifiée de longue date, mais ont été déjoués, ont déclaré mardi des responsables du gouvernement ukrainien.
Dans une centrale électrique à haute tension ciblée, les pirates ont réussi à pénétrer et à perturber une partie du système de contrôle industriel, mais les personnes qui défendaient la centrale ont pu empêcher les pannes électriques, ont déclaré les Ukrainiens.
« La menace était sérieuse, mais elle a été prévenue en temps opportun », a déclaré à la presse un haut responsable ukrainien de la cybersécurité, Victor Zhora, par l’intermédiaire d’un interprète. « Il semble que nous ayons eu beaucoup de chance. »
Les pirates de l’agence de renseignement militaire russe GRU ont utilisé une version améliorée du logiciel malveillant vue pour la première fois lors de son attaque réussie de 2016 qui a provoqué des pannes d’électricité à Kiev, ont déclaré des responsables, qui a été personnalisée pour cibler plusieurs sous-stations. Ils ont simultanément semé des logiciels malveillants conçus pour anéantir les systèmes d’exploitation des ordinateurs, ce qui entrave la récupération.
Les autorités n’ont pas précisé le nombre de sous-stations ciblées ni leur emplacement, invoquant des problèmes de sécurité, mais un vice-ministre de l’énergie, Farid Safarov, a déclaré que « 2 millions de personnes auraient été privées d’électricité si cela avait réussi ».
Zhora, le vice-président du Service d’État des communications spéciales, a déclaré que le logiciel malveillant avait été programmé pour couper le courant vendredi soir au moment même où les gens rentraient du travail et allumaient les reportages.
Il a déclaré que les réseaux électriques avaient été pénétrés avant la fin du mois de février, lorsque la Russie a envahi, et que les attaquants ont ensuite téléchargé le logiciel malveillant, surnommé Industroyer2. Le logiciel malveillant a réussi à perturber un composant des systèmes de gestion de la centrale électrique touchée, également connu sous le nom de systèmes SCADA.
Zhora n’a pas donné plus de détails ni expliqué comment l’attaque a été vaincue ou quels partenaires ont pu aider directement à la vaincre. Il a reconnu l’ampleur de l’aide internationale que l’Ukraine a reçue pour identifier les intrusions et les défis d’essayer de débarrasser le gouvernement, le réseau électrique et les réseaux de télécommunications des attaquants. Les aides incluent des guerriers du clavier de US Cybercommand.
On a demandé à Cybercom s’il avait aidé à l’intervention d’urgence, mais il n’a pas immédiatement répondu.
L’équipe d’intervention d’urgence informatique d’Ukraine a remercié Microsoft et la société de cybersécurité ESET pour leur aide dans la gestion de l’attaque du réseau électrique dans un bulletin publié en ligne.
Les responsables ont déclaré que les attaques destructrices avaient été planifiées au moins depuis le 23 mars, et Zhora a émis l’hypothèse que la Russie avait prévu de « revigorer » ses soldats après avoir subi de lourdes pertes dans une tentative ratée de capturer Kiev, la capitale.
Zhora a souligné que les cyberattaques russes n’ont réussi à couper aucun pouvoir aux Ukrainiens depuis le début de cette invasion.
Les pirates informatiques du GRU d’un groupe que les chercheurs appellent Sandworm ont attaqué avec succès à deux reprises le réseau électrique ukrainien – au cours des hivers 2015 et 2016. Les procureurs américains ont inculpé six responsables du GRU en 2020 pour avoir utilisé une version précédente du logiciel malveillant Industroyer pour attaquer le réseau électrique ukrainien en prenant le contrôle. des interrupteurs et disjoncteurs des sous-stations électriques.
Lors de l’attaque de 2016, les pirates de Sandworm ont utilisé Industroyer pour allumer et éteindre les disjoncteurs dans une séquence conçue pour créer une panne d’électricité, a déclaré Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET.
« Nous savons qu’Industroyer a toujours la capacité de désactiver les disjoncteurs », a-t-il déclaré.
Travaillant en étroite collaboration avec les intervenants ukrainiens, ESET a également déterminé que les attaquants avaient infecté les réseaux des usines ciblées avec un logiciel d’effacement de disque.
L’activation réussie du logiciel malveillant aurait rendu les systèmes de l’usine inopérants, entravant sérieusement la correction et la récupération et détruisant les empreintes numériques des attaquants, a déclaré Boutin.
L’une des variétés de logiciels malveillants destructeurs utilisées dans l’attaque, baptisée CaddyWiper, a été découverte pour la première fois par ESET à la mi-mars et utilisée contre une banque ukrainienne, a-t-il déclaré.
Les procureurs occidentaux accusent Sandworm d’une série de cyberattaques très médiatisées, dont la plus destructrice, le virus d’essuie-glace NotPetya de 2017, qui a causé plus de 10 milliards de dollars de dégâts dans le monde en détruisant des données sur des réseaux entiers d’ordinateurs d’entreprises faisant des affaires en Ukraine, y compris celles appartenant au l’expéditeur Maersk et la société pharmaceutique Merck.
L’utilisation par la Russie de cyberattaques contre les infrastructures ukrainiennes lors de son invasion a été limitée par rapport aux attentes d’avant-guerre des experts. Dans les premières heures de la guerre, cependant, une attaque que l’Ukraine attribue à la Russie a mis hors service une importante liaison de communication par satellite qui a également touché des dizaines de milliers d’Européens de la France à la Pologne.
Dans une autre cyberattaque sérieuse de la guerre, des pirates ont mis hors ligne le service Internet et cellulaire d’une grande entreprise de télécommunications au service de l’armée, Ukretelecom, pendant la majeure partie de la journée du 28 mars.
Zhora a déclaré que « le potentiel des pirates russes (soutenus par l’État) a été surestimé » et a cité un certain nombre de raisons pour lesquelles il pense que les cyberattaques n’ont pas joué un rôle majeur dans le conflit :
- Lorsque l’agresseur frappe des cibles civiles avec des bombes et des roquettes, il n’est pas nécessaire de se cacher derrière une cyberactivité secrète.
- L’Ukraine a considérablement renforcé ses cyberdéfense avec l’aide de volontaires de pays sympathisants.
- Des attaques aussi sophistiquées que cet effort pour assommer le pouvoir sont complexes et ont tendance à prendre beaucoup de temps.
« Ce n’est pas une chose facile à faire », a déclaré Zhora.
L’Ukraine fait l’objet de cyberattaques russes constantes depuis huit ans, Zhora notant que les attaques ont triplé depuis l’invasion par rapport à la même période l’année dernière.
La Russie a déclaré que son invasion était nécessaire pour protéger les civils dans l’est de l’Ukraine, une fausse affirmation que les États-Unis avaient prédite que la Russie ferait comme prétexte à l’invasion. L’Ukraine a qualifié l’assaut de la Russie de « guerre d’agression », affirmant qu’elle « se défendra et gagnera ».
——
L’écrivain de l’Associated Press, Alan Suderman à Richmond, en Virginie, a contribué à ce rapport.