- Actualités
- >cybersécurité
Les pirates russes Sandworm provoquent une panne d’électricité en Ukraine
- , Publié le 12 novembre 2023
- , à21 h 01 min
Les célèbres pirates informatiques russes connus sous le nom de Sandworm ont pris pour cible une sous-station électrique en Ukraine l’année dernière, provoquant une brève coupure de courant en octobre 2022.
Les conclusions proviennent de Mandiant, une société de Google, qui a décrit le piratage comme une « cyberattaque multi-événements » utilisant une nouvelle technique pour toucher les systèmes de contrôle industriel (ICS).
« L’acteur a d’abord utilisé des techniques OT-level living-off-the-land (LotL) pour déclencher les disjoncteurs de la sous-station de la victime, provoquant une coupure de courant imprévue qui a coïncidé avec des frappes massives de missiles sur des infrastructures critiques en Ukraine », a déclaré l’entreprise.
« Sandworm a ensuite mené un deuxième événement perturbateur en déployant une nouvelle variante de CaddyWiper dans l’environnement informatique de la victime.
La société de renseignement sur les menaces n’a pas révélé l’emplacement de l’installation énergétique ciblée, la durée de la panne et le nombre de personnes touchées par l’incident.
Ce développement marque les efforts continus de Sandworm pour organiser des attaques perturbatrices et compromettre le réseau électrique en Ukraine depuis au moins 2015 en utilisant des logiciels malveillants tels qu’Industroyer.
Le vecteur initial exact utilisé pour l’attaque cyber-physique n’est pas encore clair, mais on pense que l’utilisation des techniques LotL par l’acteur de la menace a permis de réduire le temps et les ressources nécessaires pour mener à bien l’opération.
L’intrusion se serait produite aux alentours de juin 2022, les acteurs de Sandworm ayant accédé à l’environnement de technologie opérationnelle (OT) par le biais d’un hyperviseur qui hébergeait une instance de gestion de contrôle de supervision et d’acquisition de données (SCADA) pour l’environnement de la sous-station de la victime.
Le 10 octobre 2022, un fichier image de disque optique (ISO) a été utilisé pour lancer un logiciel malveillant capable d’éteindre les sous-stations, ce qui a entraîné une coupure de courant imprévue.
« Deux jours après l’événement, Sandworm a déployé une nouvelle variante de CaddyWiper dans l’environnement informatique de la victime afin de provoquer d’autres perturbations et, éventuellement, de supprimer des artefacts médico-légaux », a déclaré Mandiant.
CaddyWiper est un logiciel malveillant qui efface les données et qui a été découvert en mars 2022 dans le cadre de la guerre russo-ukrainienne.
Mandiant note que l’exécution de l’attaque a coïncidé avec le début d’une série de frappes de missiles coordonnées sur plusieurs jours contre des infrastructures critiques dans un certain nombre de villes ukrainiennes, y compris la ville dans laquelle se trouvait la victime anonyme.
« Cette attaque représente une menace immédiate pour les infrastructures critiques ukrainiennes qui utilisent le système de contrôle de surveillance MicroSCADA », a déclaré la société. « Compte tenu de l’activité mondiale de Sandworm et du déploiement mondial des produits MicroSCADA, les propriétaires d’actifs devraient prendre des mesures pour atténuer leurs tactiques, techniques et procédures contre les systèmes informatiques et de télécommunications.
