t4nkyong - Fotolia
Des cyberattaques ont bien provoqué une coupure d’électricité en Ukraine
Le directeur des activités du SANS liées à la sécurité des systèmes de contrôle industriel confirme une première menée avec une impressionnante coordination.
La semaine passée, le logiciel malveillant BlackEnergy était accusé de complicité dans les attaques des systèmes d’information de médias et d’énergéticiens en Ukraine. Ces dernières ont conduit, le 23 décembre dernier, à une vaste coupure d’électricité dans la région d’Ivano-Frankivsk, dans l’ouest du pays.
Dans un billet de blog, Michael Assante, directeur des activités du SANS liées à la sécurité des systèmes de contrôle industriel, le SANS-ICS, confirme cette première : « il est clair que des cyberattaques ont été directement responsables de coupures d’électricité en Ukraine ». Mais il apporte également des éléments supplémentaires. En particulier, la synthèse de ce co-fondateur de NexDefense, un spécialiste de la protection des systèmes Scada, met en évidence une opération impressionnante de coordination.
Ainsi, « les adversaires ont lancé une intrusion sur les systèmes Scada de production, infecté stations de travail et serveurs, rendu aveugles les opérateurs, agi pour endommager les hôtes des systèmes Scada [afin d’en ralentir la restauration et/ou de rentre l’enquête plus difficile], submergé les centres d’appel pour empêcher les clients de signaler la coupure d’électricité ».
L’opération a donc nécessité le recours coordonné à plusieurs composants : « le logiciel malveillant, un déni de service vers les systèmes téléphoniques » mais également un dernier élément, qui reste à identifier, mais semble être « une interaction directe entre l’adversaire et non pas le travail du logiciel malveillant ». Plusieurs énergéticiens locaux auraient été visés simultanément, et 80 000 foyers privés d’électricité.
Dans son billet, Michael Assante salue la réactivité des équipes locales : « l’action rapide des personnels pour passer en mode manuel et restaurer les systèmes a été impressionnante ». La distribution d’électricité a ainsi été rétablie en 3 à 6 heures, sans recours aux systèmes de contrôle informatiques.
Le patron du SANS-ICS souligne que certaines pièces du puzzle continuent de manquer, à commencer par les vecteurs de compromission initiale. Toutefois, il précise que le composant destructeur de BlackEnergy – KillDisk – n’est pas à l’origine de la coupure d’électricité : « le logiciel malveillant a probablement permis l’attaque, il y a eu une attaque intentionnelle, mais le composant KillDisk en lui-même n’a pas causé la coupure ».