La cyberattaque du réseau électrique ukrainien plus élaborée qu’annoncé

PrykarpattyaoblenergoLe 23 décembre dernier, une cyberattaque menée sur les équipement du réseau électrique ukrainien entraînait une coupure de courant dans la région d’Ivano-Frankivsk, dans la partie ouest du pays. Il s’agit d’une des rares cyberattaques réussies dont l’information est remontée jusqu’aux médias. On dispose désormais des modalités employées par les hackers afin de faire tomber l’infrastructure et les moyens mis en oeuvre pour faire tomber le réseau de Prykarpattyaoblenergo sont impressionnants.

6 mois de préparation pour une cyberattaque d’envergure

Prykarpattyaoblenergo-1Au même titre que la cyber-attaque d’Israël et des Etats-Unis sur les centrifugeuses à uranium iraniennes en 2010, l’attaque portée sur le « grid » ukrainien restera dans les annales de la cyber-sécurité. Il ne s’agit pas d’une attaque d’un pirate qui aurait pris le contrôle d’un ordinateur de contrôle, mais bien une action concertée à grande échelle. En effet, dans un premier temps, les pirates ont réussi à faire disjoncter 30 sous-stations de distribution électrique mais aussi, de manière simultanée, deux centres de distributions ce qui a entraîné la sortie du réseaux d’une trentaines de sous-stations supplémentaires. Résultat, 230.000 personnes privées d’électricité entre 1 à 6 heures de même que, ironie de l’attaque, les employés de Prykarpattyaoblenergo dont les systèmes d’alimentation de secours avait été déconnectées dans 2 centres sur 3…

Interrogé par Wired, Robert Lee, le co-fondateur de Dragos Security et ancien officier de cyber-guerre de l’US Air Force, estime qu’il s’agit d’une action de grande envergure qui nécessite une grosse logistique, des moyens financiers conséquents et des gens très qualifiés. L’attaque a-t-elle été menée par la Russie ou par un état, l’expert refuse de se prononcer, faute de preuve. Pour l’heure, l’origine exacte de l’attaque reste inconnue, par contre les experts ukrainiens, avec l’aide du FBI et du DHS (Département de la Sécurité intérieure des États-Unis) ont pu réécrire le scénario de l’attaque dans le détail. Il est fascinant.

La source initiale de l’attaque fut un simple fichier Word infecté d’un malware

Prykarpattyaoblenergo-2Selon le récit publié par Wired, l’attaque a démarré au printemps par une campagne de phishing ciblant les administrateurs systèmes et membres des services informatiques des différents distributeurs d’électricité du pays. Un simple fichier Word attaché à un email qui vous demande d’activer les macros et le processus est lancé, le malware BlackEnergy3 se déploie sur les machines et offre un point d’accès aux pirates qui vont cartographier le réseau de l’entreprise. Ils vont alors obtenir des accès aux contrôleurs de domaine Windows, mais aussi collecter les clés des VPN qui vont leur donner accès aux machines SCADA, les systèmes industriels qui vont littéralement fonctionner le réseau de distribution électrique. Comme beaucoup d’industriels Prykarpattyaoblenergo a soigneusement séparé ce réseau industriel et son réseau IT mais cela n’aura servi à rien. Les pirates ont utilisé les VPN utilisés par les techniciens pour accéder au réseau industriel.

Avec les accès VPN, les pirates vont dès lors pouvoir annihiler les systèmes d’alimentation de secours, mais pour faire disjoncter les systèmes des sous-stations de distribution. C’est là que l’attaque devient bien plus complexe car les pirates vont modifier le firmware des convertisseurs liaison série/Ethernet placés sur ces équipements. Cette mise à jour de firmware est distribuée par le réseau industriel jusqu’aux équipements. Le but de ce firmware est d’empêcher les techniciens d’intervenir sur les équipements au moment de l’attaque. Dès lors tout est prêt pour lancer l’attaque.

Les pirates ont multiplié les obstacles pour empêcher les techniciens d’intervenir

Celle-ci est lancée le 23 décembre à 15h30. Celle-ci est précédée par une attaque TDoS. Des milliers d’appels inondent les centres d’appel du distributeur. L’objectif de cette campagne d’appel est d’empêcher les abonnés de signaler la panne qui va survenir. Dès lors, tout s’enchaîne. Les alimentations de secours sont déconnectées et les disjoncteurs des sous-stations sont activés. En outre, le malware KillDisk est lancé sur les postes de supervision du réseau : celui-ci efface les fichiers systèmes ce qui provoque le crash de ces ordinateurs. Prykarpattyaoblenergo-3On ne peut que souligner l’efficacité des techniciens qui n’ont mis que quelques heures pour restaurer le courant alors que les pirates avaient multiplier les obstacles pour les empêcher de rétablir le courant.

L’attaque de la Prykarpattyaoblenergo sonne comme un nouvel avertissement pour les énergéticiens mais aussi les industriels du monde entier qui considèrent leurs systèmes comme sécurisé. Il suffit parfois d’un email pour faire tomber l’édifice.

Source : « Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid », Wired, 3 mars 2016

Commentaires Facebook
Twitter Facebook Plusone Pinterest Linkedin
Ce contenu a été publié dans Objets connectés, avec comme mot(s)-clé(s) , . Vous pouvez le mettre en favoris avec ce permalien.