GlobalSign Blog

Série « Autopsie d'un cybercrime » : l'attaque du réseau électrique ukrainien entre dans l'histoire

Série « Autopsie d'un cybercrime » : l'attaque du réseau électrique ukrainien entre dans l'histoire

Note de la rédaction : octobre marque le mois européen de la sensibilisation à la cybersécurité, un mois entier dédié à la création d’un monde cyber plus sécurisé pour tous. Nous vous avions déjà livré 31 conseils pour être mieux informés. Cette année, pour mettre en lumière ce sujet crucial, nous avons décidé de présenter quatre incidents de cybersécurité de grande ampleur qui auraient pu être évités avec plus de vigilance et une meilleure stratégie de défense. Rejoignez-nous chaque semaine d’octobre pour découvrir l’une de ces cyberattaques qui ont défrayé la chronique, et continuez à nous suivre pour rester informés et éviter d’ajouter votre nom à la liste des victimes.

La cybervictime

Le fournisseur d’électricité régional ukrainien Kyivoblenergo.

Le fond de l'affaire  

L’entreprise régionale de fourniture d'électricité ukrainienne Kyivoblenergo est devenue célèbre pour des raisons troubles. Il s’agit du premier fournisseur d’électricité au monde à tomber sous le coup d'une cyberattaque. 

Tout a commencé le 23 décembre 2015, lorsque le centre de contrôle de Prykarpattyaoblenergo est victime d'une cyberintrusion. Les systèmes informatiques et les systèmes de contrôle et d'acquisition de données en temps réel – dits « systèmes SCADA » (Supervisory Control And Data Acquisition) – de l’entreprise sont attaqués, entraînant la déconnexion de 30 sous-stations pendant trois heures. Jusqu'à 230 000 usagers sont alors privés d'électricité, soit près de la moitié des foyers dans la région d'Ivano-Frankivsk en Ukraine (qui compte environ 1,4 million d'habitants). L’arme du cybercrime : un malware du nom de BlackEnergy

Les responsables du gouvernement ukrainien évoquent assez rapidement le fait qu’une cyberattaque est à l’origine des pannes, pointant du doigt les services de sécurité russes.

L'historique des cyberattaques

Cette intrusion cybercriminelle est une première pour la société de distribution d'électricité de Kyivoblenergo.

Le récit des événements 

L’attaque contre la centrale électrique est survenue dans l’après-midi. En classant des papiers à son bureau, un employé remarque sur son écran un phénomène très étrange : le curseur de son ordinateur se met à bouger seul, comme par magie. 

L’employé observe, probablement bouche bée, le curseur se déplacer vers les boutons de contrôle des disjoncteurs d’une sous-station et cliquer sur une case, ouvrant les disjoncteurs. La sous-station est alors déconnectée et 225 000 habitants sont plongés dans le noir.  

L'employé fait tout ce qu’il peut pour reprendre le contrôle de l'ordinateur. Mais il est trop tard : il a déjà été déconnecté. 

Le site Wired s’est procuré un extrait de l’attaque. La vidéo peut être visionnée ici. L’OTAN a également créé cette courte vidéo décrivant l'événement :

On aurait pu croire que les pirates se satisferaient de ce tour de force, mais non. Ils avaient prévu de frapper plus fort et de s'en prendre à deux autres centrales de distribution électrique, doublant pratiquement le nombre de sous-stations mises hors ligne. Les cybercriminels ont également désactivé l'alimentation électrique de secours de deux des trois centres de distribution. Même les exploitants de réseaux électriques se sont également retrouvés privés d’électricité. 

Les structures et parties touchées 

Entre 200 000 et 230 000 citoyens ukrainiens.

Le mode d'entrée

Si l'on remonte la chronologie des événements précédant le jour de l’attaque, les activités ont commencé au printemps 2015 avec, notamment, une campagne de harponnage ou « spear-phishing ». Cette campagne de phishing ciblé visait certains membres des équipes informatiques et d’administration système qui travaillaient pour différentes sociétés de distribution d’électricité sur l’ensemble du territoire ukrainien. La campagne a permis de diffuser un e-mail malveillant aux employés de trois entreprises. Lorsque l’on cliquait sur la pièce jointe, une fenêtre contextuelle s’affichait, demandant au destinataire du courrier électronique d'activer les macros du document. L’activation des macros a permis au programme BlackEnergy3 d’infecter les machines des destinataires et d’ouvrir une porte dérobée pour les pirates.

Non découragés par leur première tentative peu fructueuse, les attaquants ont poursuivi leur avancée. Pendant plusieurs mois, ils ont mené des opérations de reconnaissance approfondie, et fini par accéder aux contrôleurs de domaine Windows, où étaient gérés les comptes utilisateurs pour les accès aux réseaux. Ils y ont récupéré les identifiants de connexion de collaborateurs, dont certains identifiants pour les VPN utilisés par les employés du réseau électrique pour se connecter à distance au réseau SCADA. Mais l’introduction des pirates sur les réseaux SCADA ne sonnait pas pour autant la fin de la partie. Il ne leur restait qu’à se préparer tranquillement pour le dénouement de l’opération.

Le 23 décembre vers 15h30, les assaillants ont donc commencé à ouvrir les disjoncteurs. Les employés du centre de contrôle de Prykarpattyaoblenergo ont alors réalisé qu’un individu avait pris le contrôle du système depuis l’extérieur.

sequence of events in Ukrainian Kyivoblenergo attack from 2015.png

Les assaillants avaient minutieusement préparé leur coup, sans rien laisser au hasard, allant jusqu'à lancer une attaque par déni de service téléphonique contre les centres d'appels clients afin de les empêcher de signaler la panne par téléphone.

Dans cet article de 2016 paru sur Wired, un expert en cybersécurité de Dragos Security qualifiait le piratage de « brillant » et « qu'en termes de sophistication… une attaque peut être qualifiée de sophistiquée au regard de sa logistique, de sa planification et de sa mise en œuvre… et en fonction des actions menées pendant toute la durée de l’attaque. Cette opération peut être considérée comme étant très sophistiquée. » Pour lui, « les pirates de haut vol travaillent de conserve sur des scénarios, même improbables, pour être certains de couvrir tous les aspects de ce qui pourrait mal tourner ». 

D’après Kaspersky, BlackEnergy – le cheval de Troie utilisé dans l'attaque contre l’Ukraine – avait commencé à circuler en 2014. Il a été déployé spécifiquement pour mener des attaques DDoS, des actions de cyberespionnage et des opérations de destruction d’informations, plus particulièrement contre des sociétés du secteur de l’énergie et les entreprises qui utilisent des systèmes SCADA. 

Le diagnostic 

L’attaque contre le réseau électrique ukrainien demeure l’une des pires intrusions jamais perpétrées. Et l'affaire n'est sans doute pas encore classée…

Comme évoqué plus haut, peu après l’attaque le gouvernement ukrainien a presque immédiatement mis en cause la Russie. Mais jusqu'à très récemment, personne n'a été officiellement accusé. 

Le 15 octobre 2020, à Pittsburgh (États-Unis), un grand jury fédéral a mis en accusation six pirates informatiques, tous résidents et ressortissants de la Fédération de Russie (Russie) et officiers de l'unité 74455 de la Direction principale du renseignement russe (GRU). Cette agence de renseignement militaire de l'état-major général des forces armées est également connue sous le nom de « Sandworm ». 

Ce même groupe pourrait également être responsable d'une autre attaque d’envergure, NotPetya, qui a causé près d'un milliard de dollars de pertes. 

De plus, Sandworm pourrait être derrière une série de cyberattaques qui visait à influencer les Jeux olympiques d'été de 2020 à Tokyo, repoussés à l’année prochaine. Le gouvernement britannique craint que les JO de 2021 n'aient été visés.

Espérons que ça ne soit pas le cas.

D'ici là, si vous ne voulez pas subir le même sort que cette centrale électrique ukrainienne, nous vous invitons à consulter quelques-unes de nos ressources gratuites spécialement conçues pour les fournisseurs d'énergie :

Share this Post