L’Ukraine pourrait bien être le premier pays à avoir été touché par une panne électrique provoquée par un malware. C’est ce qui ressort de l’analyse de plusieurs sociétés de sécurité ayant enquêté sur des évènements ayant eu lieu le 23 décembre dernier.
En avril dernier, Keith Alexander, ancien directeur de la NSA, s’exprimait au sujet des systèmes SCADA (Supervisory Control And Data Acquisition), des infrastructures de contrôle et de gestion des données sur de larges échelles. Il indiquait dans un discours assez anxiogène que les systèmes américains n’étaient clairement pas assez protégés contre les cybermenaces. Il n’était donc pas étonnant de voir les États-Unis avancer vers une loi obligeant à davantage de sécurité, même si les mesures envisagées sont critiquées.
Une panne en Ukraine, la piste du malware rapidement évoquée
Or, le 23 décembre dernier, la région Ivano-Frankivsk d’Ukraine a été touchée par de larges pannes électriques. Aujourd’hui, de nombreux signes pointent vers l’utilisation d’un malware utilisé pour provoquer des incidents dans les centrales électriques. Le ministère ukrainien de l’Énergie enquête actuellement sur ce qui parait de plus en plus comme être une attaque savamment orchestrée contre la société Prykarpattyaoblenergo, à qui appartiennent les centrales.
L’idée d’une telle attaque a d’abord été rapportée par le média ukrainien TSN le 24 décembre. La société de sécurité iSight, qui a obtenu des morceaux du code utilisé, a renforcé cette hypothèse en s’exprimant notamment chez Ars Technica : « C’est une étape importante parce que nous avons déjà vu des évènements destructeurs ciblés contre le secteur de l’énergie – les compagnies pétrolières par exemple – mais jamais au point de provoquer une panne. C’est un scénario majeur que nous redoutions depuis longtemps ».
Un vieux malware de 2007 remis au « goût du jour »
Dans un billet publié lundi, la société ESET (qui commercialise l’antivirus NOD32), a de son côté plongé beaucoup plus loin dans les détails. Elle explique ainsi que le malware trouvé dans les centrales n’est autre que BlackEnergy. Découvert initialement en 2007, ce cheval de Troie était à l’origine un relai pour conduire des attaques par déni de service. Mais il y a deux ans, il a reçu une importante mise à jour pour lui ajouter de nouvelles capacités, notamment d’empêcher les machines infectées de démarrer. Toujours selon ESET, BlackEnergy a reçu récemment une nouvelle mise à jour, ajoutant cette fois un composant nommé KillDisk (dont le nom parle de lui-même) ainsi qu’un utilitaire SSH masqué permettant de garder le contrôle sur la machine.
Selon les chercheurs, l’infection a pu commencer en cachant le code malveillant dans des macros de documents Office. De là, les auteurs de l’attaque auraient pu diffuser KillDisk dans plusieurs installations. Une simplicité déconcertante et inquiétante tant la méthode semble facile au vu des implications. KillDisk passait ensuite à l’action, détruisant certains secteurs des disques durs et déployant plusieurs fonctionnalités dédiées aux systèmes SCADA.

BlackEnergy : l'acteur ou le relai
Pour autant, ni iSight, ni ESET n’affirment clairement que BlackEnergy est responsable de panne en Ukraine. Les chercheurs laissent cependant peu de doute sur leurs certitudes tant le faisceau d’éléments concordants semble aller dans la même direction. Mais ESET ajoute un élément intéressant : « Notre analyse du malware KillDisk détectée dans plusieurs sociétés de distribution de l’énergie en Ukraine indique qu’il est théoriquement capable d’arrêter des systèmes critiques. Toutefois, il existe une autre explication possible. BlackEnergy, ou la porte dérobée SSH, fournissent aux attaquants un accès à distance aux systèmes infectés. Après avoir infiltré avec succès un système critique avec l’un ou l’autre, un attaquant serait, là encore théoriquement, parfaitement capable de l’arrêter. Auquel cas KillDisk aurait la mission de rendre le redémarrage de ce système plus difficile ».
En d’autres termes, les chercheurs ne savent pas si BlackEnergy est directement responsable de la panne, ou s’il a servi d’agent de liaison entre les systèmes infectés et les attaquants. Ces derniers avaient alors tout loisir de les piloter à distance, et donc de les éteindre. Si l'enquête du ministère de l'Énergie devait confirmer en tout cas la présence du malware, nul doute que de nombreux pays accéléreront leur travail législatif pour la mise en place de nouvelles règles et défenses de leurs systèmes.
En France, la loi de programmation militaire de 2013 a déjà imposé un certain nombre de mesures pour les OIV (Opérateurs d’importance vitale). Outre l’obligation de déclarer les incidents de sécurité dans leurs systèmes, ils doivent posséder des mécanismes de détection d’évènements (exploité par l’ANSSI dans le cas d’une administration de l’État), des mesures de contrôles et accepter des audits réguliers de sécurité.