Un malware très virulent a infecté au moins trois compagnies régionales d’électricité en Ukraine. Cette attaque a conduit à une coupure de grande ampleur qui a privé de courant des centaines de millier de foyers la semaine dernière.
C’est TSN, un média ukrainien, qui a révélé que cette coupure à grande échelle était due à un malware déconnectant les sous-postes électriques. L’information a été confirmée par des chercheurs de la société de sécurité iSIGHT Partners et ESET déclarant avoir obtenu un échantillon de code du fameux virus.
Des chercheurs du fournisseur d’antivirus ESET (NOD32) confirment que le malware est issu du pack « BlackEnergy ». Il a été découvert en 2007 et mis à jour en 2013 avec de nouvelles fonctionnalités comme la possibilité de rendre un ordinateur impossible à démarrer. ESET a découvert qu’un ajout avait été fait avec KillDisk, une fonctionnalité qui détruit des parties critiques d’un disque dur et qui s’accompagne d’une fonction de sabotage des systèmes de contrôle industriels. Enfin, la dernière version de BlackEnergy aurait la capacité de laisser une entrée SSH secrète, lui donnant un accès permanent à la machine infectée. Le créateur de NOD32 poursuit dans un article sur son blog :
Notre analyse du malware KillDisk détecté chez plusieurs sociétés de distribution électrique en Ukraine indique qu’il est théoriquement capable de couper des systèmes critiques. Cependant, il y aussi une autre explication. L’accès SSH de BlackEnergy permet au hacker d’avoir un accès à distance pour continuer d’infecter le système. Après avoir infiltré un réseau de machines avec ses chevaux de troie un hacker pourra, théoriquement, être capable de couper ce réseau. Enfin, du fait de sa capacité destructrice, KillDisk rend la remise en état de la machine bien plus compliquée.
Si ces découvertes s’avèrent exactes, nous sommes face au premier cas d’attaque visant un réseau électrique. Le phénomène pourrait aller en s’accentuant compte tenu des différents conflits internationaux. En revanche, des attaques de ce genre avaient déjà été perpétrées par le passé mais ne visaient que des entreprises pétrolières, et n’ont jamais conduit à un black-out.
Notre société est depuis quelques décennies ultra dépendante aux appareils électriques. Un groupement de hackers ayant la capacité de couper des réseaux électriques pourraient avoir un pouvoir sans précédent. Si le hacking de données peut avoir une motivation d’alerte sur des failles de sécurité, un terrain plus structurel comme l’énergie n’aurait que le chaos pour objectif.
