Piratage industriel : Comment des hackers ont-ils bien pu réussir à faire tomber durant plusieurs heures l’aide d’un malware le réseau électrique ukrainien ?

En décembre 2015 et en décembre 2016 le réseau électrique ukrainien a été attaqué par un malware provoquant  de gigantesques coupures d’électricité dans certaines régions de ce pays.

Des chercheurs de deux entreprises, Eset et Dragos, se sont penchés sur le fonctionnement du malware et leurs conclusions  inquiétantes :

ð Industroyer, ou CrashOverride, (le nom que leur ont donné les chercheurs), pourrait très facilement être adapté aux réseaux électriques européens.

Industroyer/CrashOverride le malware capable de faire disjoncter des transformateurs électriques.

Industroyer :c’est le nom donné par Eset, ou CrashOverride, par Dragos.

Il s’agit d’un malware complexe qui utilise des backdoors pour s’introduire sur les PC des administrateurs du réseau électrique, installe des modules de prise de contrôle à distance et de scan du réseau (pour trouver de nouveaux PC à infecter) et enfin efface les fichiers système d’un PC sur lequel il est installé pour ne laisser aucune trace de son activité.

Le rapport d’Eset, le plus clair et le plus complet explique.

Les chercheurs y expliquent que le malware n’est , en lui-même, techniquement pas très complexe.

Mais, ce qui est plus impressionnant, ce sont les connaissances du réseau électrique par les hackers, ce qui laisse penser qu’ils sont, soit très bien organisés, soit contrôlés  par un état.

Pour que l’attaque soit efficace, les modules de prise de contrôle et de scan des ports doivent en effet être capables d’identifier précisément les cibles à attaquer et être lancés au bon moment.

Les hackers ont tout d’abord utilisé les backdoors du malware pour prendre le contrôle des comptes administrateurs et système et espionner durant des mois des employés et des cadres et scanner le trafic réseau.

Une fois le fonctionnement du réseau informatique et électrique parfaitement connu, ils peuvent alors lancer leur attaque.

En prenant le contrôle de différents ordinateurs situés sur le réseau informatique, les hackers sont alors capables de faire sauter les disjoncteurs d’un ou de plusieurs transformateurs et de provoquer le blackout.

Le seul moyen pour les employés de reprendre le contrôle est de se rendre sur les lieux du disjoncteur pour le réarmer.

Un malware facilement  de transposable sur les réseaux européens et asiatiques

Selon les chercheurs en sécurité, Industroyer est une menace à prendre au sérieux.

Du fait de sa grande modularité et de sa capacité à surveiller facilement le fonctionnement des réseaux, il pourrait s’exporter en Europe, en Asie et au Moyen-Orient.

Les protocoles utilisés aux États-Unis sont, par contre, différents et ne pourraient pas directement être touchés par le malware.

Cela ne signifie pas pour autant que les centrales américaines sont à l’abri.

Au début de l’année, un malware russe aurait été détecté dans l’ordinateur d’une compagnie d’électricité américaine.

La cyberguerre industrielle ne fait que commencer !

(1)           Dans un logiciel, une porte dérobée (de l'anglais backdoor), littéralement porte de derrière, est une fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel.

L'introduction d'une porte dérobée dans un logiciel à l'insu de son utilisateur transforme le logiciel en cheval de Troie.