L’institut SANS a publié samedi un rapport sur la panne électrique qui a affecté l’Ukraine le 23 décembre dernier. Pour le directeur de la division ICS (Industrial Control Systems), les preuves sont là : les centrales touchées ont été les cibles d’une campagne d’attaque savamment orchestrée.
La semaine dernière, nous relations comment des centrales électriques en Ukraine avaient subi une importante avarie. À la faveur d’un rapport publié par la société de sécurité ESET (éditeur de l’antivirus NOD32), on apprenait qu’un malware avait très tôt été soupçonné d’être à l’origine du vaste problème, qui avait provoqué des pannes de courant dans toute une région du pays. La piste avait été émise initialement par les médias ukrainiens, mais plusieurs sociétés avaient enquêté et trouvé un faisceau de preuves qui ne laissait guère de place pour le doute.
Des morceaux du malware BlackEnergy avaient ainsi été retrouvés. ESET expliquait que le suivi de ce malware, dont la création remonte à 2007, montrait des mises à jour successives et un plus grand éventail de fonctionnalités. Étaient surtout pointées des capacités de nuisance pour des systèmes SCADA (Supervisory Control And Data Acquisition) - des infrastructures de contrôle et de gestion des données sur de larges échelles – ainsi que KillDisk, conçu pour détruire les disques durs et empêcher les machines touchées de redémarrer.
Trois composantes pour une organisation réussie
L’institut SANS, spécialisé dans la formation et les certifications de sécurité, a publié samedi un rapport qui confirme cette piste. Le directeur de la division ICS (spécialisée justement dans les systèmes SCADA), Michael Assante, explique ainsi que les pirates ont montré « une planification, une coordination et la capacité à utiliser des malwares et probablement un accès à distance » pour leurrer les systèmes. Ils ont provoqué des « changements d’état indésirables dans l’infrastructure de distribution de l’énergie et ont tenté de retarder sa restauration en vidant les serveurs SCADA ».
Il ajoute par ailleurs des informations inédites. Selon le rapport, l’attaque s’appuyait principalement sur trois briques : le malware lui-même, une attaque par déni de service sur le système téléphonique et une pièce manquante qui prouve la « cause finale de l’impact ». Cet dernier élément, au vu des caractéristiques de l’attaque, serait bien un composant tiers en relation directe avec les auteurs, et non une conséquence de BlackEnergy. Il pourrait s’agir en fait de l’utilitaire SSH masqué dont il était déjà question dans le rapport d’ESET.
Cause de la panne, documents Office : des doutes subsistent
Les explications de l’institut sont intéressantes en ce qu’elles insistent sur un point précis : il n’y a aucune preuve montrant que le malware BlackEnergy soit la cause de la panne. Il s’agit selon les chercheurs d’une conjonction des trois éléments précités, BlackEnergy servant alors à créer la confusion, l’attaque DoS à empêcher la coordination des équipes techniques et le dernier composant à provoquer la panne proprement dite. Le malware aurait donc servi d'agent perturbateur, créant le contexte adéquat pour réussir l’attaque.
Le SANS doute cependant de la manière dont BlackEnergy a effectivement pu arriver sur les machines dans les centrales. La piste envisagée jusqu’ici, des documents Office contaminés, n’est pas suffisamment étayée. Elle serait basée uniquement sur le fait que des infections par BlackEnergy ont effectivement eu lieu par ce biais dans le passé.
Globalement, le nouveau rapport va quand même dans le sens des précédents. Il n’est plus guère permis de douter de l’existence d’une attaque très organisée et de l’utilisation de plusieurs composants malveillants pour provoquer la panne. Cependant, on rappellera qu’en dépit de la multiplication des rapports, le ministère ukrainien de l’Énergie est toujours en pleine enquête. La confirmation officielle de l’attaque est donc en attente, d’autant qu’aucune des sociétés de sécurité n’a fourni de piste sur les auteurs présumés.
