Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Ukraine : l'institut SANS confirme la piste d'une cyberattaque organisée

BlackEnergy, le perturbateur
Logiciel 3 min
Ukraine : l'institut SANS confirme la piste d'une cyberattaque organisée
Crédits : nevarpp/iStock/Thinkstock

L’institut SANS a publié samedi un rapport sur la panne électrique qui a affecté l’Ukraine le 23 décembre dernier. Pour le directeur de la division ICS (Industrial Control Systems), les preuves sont là : les centrales touchées ont été les cibles d’une campagne d’attaque savamment orchestrée.

La semaine dernière, nous relations comment des centrales électriques en Ukraine avaient subi une importante avarie. À la faveur d’un rapport publié par la société de sécurité ESET (éditeur de l’antivirus NOD32), on apprenait qu’un malware avait très tôt été soupçonné d’être à l’origine du vaste problème, qui avait provoqué des pannes de courant dans toute une région du pays. La piste avait été émise initialement par les médias ukrainiens, mais plusieurs sociétés avaient enquêté et trouvé un faisceau de preuves qui ne laissait guère de place pour le doute.

Des morceaux du malware BlackEnergy avaient ainsi été retrouvés. ESET expliquait que le suivi de ce malware, dont la création remonte à 2007, montrait des mises à jour successives et un plus grand éventail de fonctionnalités. Étaient surtout pointées des capacités de nuisance pour des systèmes SCADA (Supervisory Control And Data Acquisition) - des infrastructures de contrôle et de gestion des données sur de larges échelles – ainsi que KillDisk, conçu pour détruire les disques durs et empêcher les machines touchées de redémarrer.

Trois composantes pour une organisation réussie

L’institut SANS, spécialisé dans la formation et les certifications de sécurité, a publié samedi un rapport qui confirme cette piste. Le directeur de la division ICS (spécialisée justement dans les systèmes SCADA), Michael Assante, explique ainsi que les pirates ont montré « une planification, une coordination et la capacité à utiliser des malwares et probablement un accès à distance » pour leurrer les systèmes. Ils ont provoqué des « changements d’état indésirables dans l’infrastructure de distribution de l’énergie et ont tenté de retarder sa restauration en vidant les serveurs SCADA ».

Il ajoute par ailleurs des informations inédites. Selon le rapport, l’attaque s’appuyait principalement sur trois briques : le malware lui-même, une attaque par déni de service sur le système téléphonique et une pièce manquante qui prouve la « cause finale de l’impact ». Cet dernier élément, au vu des caractéristiques de l’attaque, serait bien un composant tiers en relation directe avec les auteurs, et non une conséquence de BlackEnergy. Il pourrait s’agir en fait de l’utilitaire SSH masqué dont il était déjà question dans le rapport d’ESET.

Cause de la panne, documents Office : des doutes subsistent

Les explications de l’institut sont intéressantes en ce qu’elles insistent sur un point précis : il n’y a aucune preuve montrant que le malware BlackEnergy soit la cause de la panne. Il s’agit selon les chercheurs d’une conjonction des trois éléments précités, BlackEnergy servant alors à créer la confusion, l’attaque DoS à empêcher la coordination des équipes techniques et le dernier composant à provoquer la panne proprement dite. Le malware aurait donc servi d'agent perturbateur, créant le contexte adéquat pour réussir l’attaque.

Le SANS doute cependant de la manière dont BlackEnergy a effectivement pu arriver sur les machines dans les centrales. La piste envisagée jusqu’ici, des documents Office contaminés, n’est pas suffisamment étayée. Elle serait basée uniquement sur le fait que des infections par BlackEnergy ont effectivement eu lieu par ce biais dans le passé.

Globalement, le nouveau rapport va quand même dans le sens des précédents. Il n’est plus guère permis de douter de l’existence d’une attaque très organisée et de l’utilisation de plusieurs composants malveillants pour provoquer la panne. Cependant, on rappellera qu’en dépit de la multiplication des rapports, le ministère ukrainien de l’Énergie est toujours en pleine enquête. La confirmation officielle de l’attaque est donc en attente, d’autant qu’aucune des sociétés de sécurité n’a fourni de piste sur les auteurs présumés. 

44 commentaires
Avatar de OliveTom INpactien
Avatar de OliveTomOliveTom- 11/01/16 à 13:50:11

J'espère que les différents groupes ou entreprises de gestion des centrales nucléaires dans le monde lisent cette actu :)

Édité par OliveTom le 11/01/2016 à 13:50
Avatar de TaigaIV INpactien
Avatar de TaigaIVTaigaIV- 11/01/16 à 14:06:24

OliveTom a écrit :

J'espère que les différents groupes ou entreprises de gestion des centrales nucléaires dans le monde lisent cette actu :)

Depuis un PC connecté au réseau de la centrale ? :D

Avatar de ikikay INpactien
Avatar de ikikayikikay- 11/01/16 à 14:07:31

et c'est quoi leur utilité de faire ça ....
le but, c'est juste faire chier les gens, ou y à un but derrière ? (question sérieuse hein, je me demande ^^')

Avatar de jimmy_36 INpactien
Avatar de jimmy_36jimmy_36- 11/01/16 à 14:14:14

Une panne électrique générale en Ukraine , tu vois vraiment pas qui se cache derrière ?

:)
 

Avatar de marba Abonné
Avatar de marbamarba- 11/01/16 à 14:18:51

jimmy_36 a écrit :

Une panne électrique générale en Ukraine , tu vois vraiment pas qui se cache derrière ?

:)
 

La Russie, ou l'OTAN pour accuser les russes.

Avatar de OliveTom INpactien
Avatar de OliveTomOliveTom- 11/01/16 à 14:22:34

Ou a minima, qui aurait pu payer pour ça ;-)

Édité par OliveTom le 11/01/2016 à 14:22
Avatar de janiko Abonné
Avatar de janikojaniko- 11/01/16 à 14:24:17

Moi je dis : ça sent le gaz.

Avatar de OliveTom INpactien
Avatar de OliveTomOliveTom- 11/01/16 à 14:24:47

:transpi:
:neuf:

J'ose espérer que ce n'est pas vrai ^^

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 11/01/16 à 14:26:37

jimmy_36 a écrit :

Une panne électrique générale en Ukraine , tu vois vraiment pas qui se cache derrière ?

:)
 

http://cdn4.miragestudio7.com/wp-content/uploads/2014/03/ancient-aliens-guy.jpg

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 11/01/16 à 14:34:38

Vincent a écrit :

BlackEnergy servant alors à créer la confusion, l’attaque DoS à empêcher la coordination des équipes techniques et le dernier composant à provoquer la panne proprement dite.

ça m'a tout de suite fait penser aux phases de hacking dans DeusEx : HR (avec les nuke et les virus pour ralentir le tracking) :transpi:

Il n'est plus possible de commenter cette actualité.
Page 1 / 5