MO:SES - Fotolia
Ukraine : après la coupure d’électricité, la paralysie de l’aéroport de Kiev
Le système informatique de l’aéroport de Kiev semble avoir été également attaqué avec le logiciel malveillant BlackEnergy. D’autres opérations sont attendues.
Le Cert Ukrainien vient de publier une courte liste d’indicateurs de compromission à destination des administrateurs de systèmes d’information du pays. Il réagit ainsi à une attaque informatique ayant visé le principal aéroport de Kiev, Boryspil. Selon nos confrères de Reuters, le logiciel malveillant impliqué est à nouveau BlackEnergy.
Ce dernier a récemment été utilisé dans le cadre d’attaques menées fin décembre sur des systèmes d’informations de médias et d’énergéticiens en Ukraine, jusqu’à provoquer une vaste coupure d’électricité dans la région d’Ivano-Frankivsk, dans l’ouest du pays.
Ce sont aujourd’hui les systèmes d’information de tous les opérateurs d’infrastructures structures qui sont appelés à être observés avec une attention toute particulière.
Un porte-parole de l’armée ukrainienne a assuré à nos confrères que le serveur de contrôle du logiciel malveillant se trouve en Russie, sans pour autant accuser le Kremlin.
Les analyses de McAfee tendent toutefois à contredire ces affirmations. Dans un billet de blog, l’éditeur se penche sur les différentes versions de BlackEnergy, évoquant l’utilisation de sa version 3.0 dans les attaques ayant été conduites contre les infrastructures ukrainiennes, jusqu’à publier la signature du logiciel malveillant qui y aurait été mis à contribution.
Mais Intel Security publie également une liste d’adresses IP de serveurs de contrôle et commande utilisés pour BlackEnergy 3.0. Et là, la Russie apparaît en minorité. L’Ukraine est elle-même représentée, aux côtés de la Malaisie, de la Thaïlande, du Royaume-Uni, des Etats-Unis, de la Turquie ou encore de la Suède. Mais le gros du bataillon se répartit entre l’Allemagne et les Pays-Bas.
Prudents, les chercheurs d’Intel Security soulignent que les fonctionnalités de BlackEnergy 3 en font un bon candidat pour des opérations conduites par des groupes agissant avec le soutien d’états : « elles permettent à ces acteurs de se cacher parmi d’autres cybercriminels connus pour utiliser des variantes de BlackEnergy ». Pour autant, « à ce stade de l’analyse, attribuer l’attaque [contre les énergéticiens en Ukraine, NDLR] à un groupe ou un acteur est prématuré ».