Microsoft et Facebook ont investi dans la construction d'un cable transatlantique qui doit être mis en service en octobre 2017.

L'Image du jour

Microsoft et Facebook ont investi dans la construction d'un cable transatlantique qui doit être mis en service en octobre 2017.

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Piratage des centrales électriques ukrainiennes : une mine et un opérateur du rail testés avant l'attaque

Une compagnie ukrainienne de chemin de fer a été ciblée par des cyber-pirates russes avant les attaques contre les centrales électriques. (Crédit D.R.)

Une compagnie ukrainienne de chemin de fer a été ciblée par des cyber-pirates russes avant les attaques contre les centrales électriques. (Crédit D.R.)

Selon l'entreprise de sécurité Trend Micro, les pirates qui ont attaqué et mis hors circuit deux centrales électriques ukrainiennes en décembre dernier sont peut être à l'origine d'autres attaques menées peu de temps auparavant contre une société minière et un opérateur ferroviaire. L'entreprise de sécurité pense que ces premières attaques ont servi de test aux pirates.

La dernière analyse technique réalisée par Trend Micro montre que les mêmes malwares - surnommés BlackEnergy et KillDisk - ont probablement été utilisés dans de précédentes attaques repérées en novembre et en décembre contre des cibles que l’entreprise de sécurité n’a pas nommées. « Nous avons relevé une similitude de faits étonnante entre le malware utilisé, les infrastructures, les conventions de nommage, et dans une certaine mesure, la période pendant laquelle ce malware a opéré », a déclaré Kyle Wilhoit, un chercheur spécialisé dans les menaces.

Les cyberattaques contre les deux services publics, les fournisseurs d’électricité Prykarpattya Oblenergo et Kyivoblenergo, ont suscité une grande inquiétude parmi les spécialistes de la sécurité. Depuis un certain temps, ceux-ci alertent sur les attaques ciblant les systèmes de contrôle industriels et les dommages importants qui peuvent en résulter. Selon l’opérateur Kyivoblenergo, l’attaque a déconnecté 30 sous-stations, privant 80 000 clients d’électricité pendant six heures. Le service a été rétabli quand les opérateurs ont pris le contrôle manuel des systèmes et rebasculé les disjoncteurs.

Une entreprise minière visée par Sandworm Team

Le malware utilisé dans les attaques est connu sous le nom de BlackEnergy. Selon l’entreprise de sécurité iSight Partners, il porte la signature d’un groupe de pirates surnommé Sandworm Team qui opèrerait depuis la Russie. Les relations entre l'Ukraine et la Russie sont tendues depuis que la Fédération a annexé la Crimée en 2014. Kyle Wilhoit pense que BlackEnergy a probablement infecté une entreprise minière. « Dans l’attaque qui a ciblé l’entreprise minière peu de temps avant, le malware a communiqué avec les mêmes serveurs de commande et de contrôle que ceux à l’origine de l’attaque contre les deux centrales électriques », a-t-il écrit.

L’entreprise minière a été également infectée par plusieurs versions de Killdisk. Le code de Killdisk écrase le Master Boot Record (MBR), le premier secteur du disque dur d'un PC, et rend l’ordinateur inutilisable. Killdisk écrase également les fichiers en écrivant des données inutiles. « On ne retrouve pas exactement les mêmes bouts de code dans les attaques antérieures contre l’entreprise minière, mais les caractéristiques spécifiques des échantillons et leur mode opératoire correspond, à peu de chose près, à ce que l’on a pu observer dans les attaques contre les fournisseurs d'électricité ukrainiens », a encore écrit le chercheur.

Puis un opérateur du rail 

Certains signes laissent penser que Killdisk a aussi affecté une entreprise ferroviaire ukrainienne. Trend Micro pense également que BlackEnergy a ciblé les systèmes de l’entreprise de chemin de fer. « Les infections repérées dans les systèmes de l’entreprise minière et de l’entreprise ferroviaire indiquent peut-être que les attaquants ont d’abord testé leur attaque et leur code base sur ces systèmes avant de cibler les centrales électriques », a écrit Kyle Wilhoit.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité