Passer au contenu

Comment des hackers ont provoqué un gigantesque black-out en Ukraine

Phishing, cheval de Troie, portes dérobées… Les pirates qui ont provoqué la panne générale dans l’ouest du pays ont déployé tout un arsenal pour arriver à leurs fins.

C’est un moment historique : pour la première fois, un malware a permis de saboter une infrastructure publique importante, à savoir un réseau électrique. L’affaire s’est déroulée en Ukraine, le 23 décembre. Près de la moitié des 1,4 million d’habitants de la région Ivano-Frankivsk, située à l’ouest de l’Ukraine, se sont retrouvés dans le noir pendant plusieurs heures, suite à une coupure d’électricité. Cette panne a été causée par « l’intervention de personnes non autorisées (…) dans le système de commande à distance » et les techniciens ont dû rétablir le courant « manuellement », a expliqué l’opérateur électrique Prikarpattiaoblenergo. « Le système automatique a cessé de fonctionner, les ordinateurs se sont éteints », a par ailleurs confirmé une source de l’AFP.

À lire : Cyberespionnage massif dans le secteur énergétique européen

Cet opérateur n’était pas le seul visé : selon les experts en sécurité d’iSight Partners qui ont pu mettre la main sur un exemplaire du malware, au moins deux autres opérateurs ont été infectés. « Nous avons déjà observé des attaques ciblées destructives contre le secteur énergétique (…) mais jamais un black-out. C’est le scénario catastrophe que l’on redoutait depuis très longtemps », explique John Hultquist, responsable des activités cyberespionnage chez iSight, dans les colonnes d’Ars Technica.

Le malware a également été décortiqué par les analystes de l’éditeur d’Eset. Selon eux, il s’agit d’une version de « BlackEnergy », un cheval de Troie modulaire qui a été utilisé de nombreuses fois par le passé dans le cadre de campagnes de cyberespionnage en Ukraine et en Pologne. Dans le cas présent, le malware a été infiltré auprès des opérateurs électriques par l’intermédiaire « d’une importante campagne de phishing contenant un document Excel infecté », a expliqué Eset auprès de l’AFP.

Plusieurs hypothèses

Le cheval de Troie BlackEnergy contenait une charge utile intitulée KillDisk. Ce logiciel malveillant était non seulement capable d’effacer à volonté des fichiers sur un système infecté, mais contenait également des fonctionnalités pour saboter des systèmes industriels. En effet, KillDisk était programmé pour effacer et remplacer des exécutables tels que komut.exe ou sec_service.exe, qui seraient liés à des logiciels de pilotage industriel.

Mais ce n’est là qu’une des hypothèses possibles. Eset a également trouvé, sur les serveurs des opérateurs électriques, des portes dérobées. Les pirates ont réussi à installer une version modifiée de Dropbear SSH, un logiciel qui permet d’accéder à distance à une machine avec les privilèges administrateurs. Une fonctionnalité similaire existe également dans le cheval de Trois BlackEnergy. « Après avoir infiltré avec succès un système critique avec l’un de ces malware, un attaquant peut, en théorie, être parfaitement capable de les éteindre. Dans ce cas, le malware destructif KillDisk n’aurait servi que pour compliquer le rétablissement du service », souligne Eset dans une note de blog.

Quoiqu’il en soit, les pirates de BlackEnergy auront réussi à se faire une petite place dans l’histoire du piratage industriel.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN