La Computer Emergency Response Team ukrainienne (CERT-UA), a publié un rapport le 12 avril où elle explique avoir déjoué une attaque très pointue contre un fournisseur d’électricité régional. Les autorités estiment que le responsable est le groupe Sandworm, affilié au GRU, le renseignement militaire russe.
Une cyberattaque atypique, mais bien connue
En 2016, une semaine avant les fêtes de Noël, 100 000 Ukrainiens vivant au nord de Kiev se sont subitement retrouvés dans le noir. Ils ont été victimes d’un logiciel malveillant particulièrement perfectionné appelé Industroyer ou Crash Override. Aucune trace de ce type de cyberattaque n’a été signalée à travers le monde jusqu’à aujourd’hui, précise Wired.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le CERT-UA et son autorité de tutelle, le Service d’État des communications spéciales et de la protection de l’information (SSSCIP) affirment qu’un Industroyer 2 a failli priver deux millions d’Ukrainiens au soir du 8 avril, date à laquelle le logiciel était censé entrer en action.
@_CERT_UA under the @dsszzi reported a #Sandworm (UAC-0082) #cyberattack on Ukraine’s energy infrastructure suing #Industroyer2 and #CaddyWiper malware.
The attackers attempted to take down several infrastructure components of their target, namely: (1/5) #cyberwar#WARINUKRAINE— SSSCIP Ukraine (@dsszzi) April 12, 2022
Tous les détails ne sont pas encore connus. Dans certains cas parce qu’ils demandent des investigations supplémentaires, par exemple pour savoir comment le logiciel a été introduit, dans d’autres cas par volonté des autorités ukrainiennes, comme l’entreprise et la région affectées, pour des raisons de sécurité.
L’intrusion date probablement au moins de février 2022. Elle a ciblé des sous-stations à haute tension. Elle aurait permis d’envoyer des commandes aux disjoncteurs pour couper l’électricité. Innovation par rapport à 2016, l’attaque a été accompagnée de « wiper », des logiciels malveillants qui effacent les données d’un système informatique visé. Visiblement dans le but de complexifier le rétablissement du service.
Victor Zhora, directeur adjoint du SSSCIP, a déclaré à la presse, « Il est évident que l’équipe de l’agresseur, les malfaiteurs, ont eu suffisamment de temps pour se préparer minutieusement et ont planifié l’exécution à un niveau sophistiqué et de haute qualité » il a ajouté, « Il semble que nous ayons eu beaucoup de chance d’avoir pu répondre en temps voulu à cette cyberattaque ». Selon les informations de la MIT Technology Review, le courant a tout de même été temporairement coupé dans 9 sous-stations.
L’Ukraine est le terrain de « la première cyberguerre de l’histoire »
Depuis un mois Victor Zhora estime que l’Ukraine a été victime en un mois à 198 cyberattaques majeur. Attaques par déni de services ou wiper contre des sites gouvernementaux, cyberattaques contre Viasat ou Ukrtelecom, les exemples commencent à s’accumuler, « Ils visent les infrastructures critiques, mais ces tentatives n’étaient pas aussi sophistiquées que l’attaque d’aujourd’hui », témoigne Victor Zhora.
Le « ils » désignent sans surprise la Russie ou la Biélorussie, même si des investigations sont toujours en cours. Dans le cas d’Industroyer, la responsabilité de Sandworm fait peu de doute, étant donné la filiation et la rareté de type d’attaque. Le groupe dispose d’un large « palmarès », il est accusé d’être derrière NotPetya en 2017, la cyberattaque à l’origine des Macronleaks la même année, Olympic Destroyer contre les JO d’hiver en 2018 ou plus récemment derrière le botnet Cyclops Blink.
Dans une interview récente aux Échos Victor Zhora affirme qu’en Ukraine « Nous assistons à la première cyberguerre de l’histoire », mais comme sur le terrain de la guerre conventionnelle, il affirme que le pays est prêt à faire face : « Depuis 2014 [l’annexion de la Crimée par la Russie], nous sommes soumis à une agression constante, et notre expertise est unique dans la façon de repousser ces agressions ».
