La dernière analyse technique réalisée par Trend Micro montre que les mêmes malwares - surnommés BlackEnergy et KillDisk - ont probablement été utilisés dans de précédentes attaques repérées en novembre et en décembre contre des cibles que l’entreprise de sécurité n’a pas nommées. « Nous avons relevé une similitude de faits étonnante entre le malware utilisé, les infrastructures, les conventions de nommage, et dans une certaine mesure, la période pendant laquelle ce malware a opéré », a déclaré Kyle Wilhoit, un chercheur spécialisé dans les menaces.

Les cyberattaques contre les deux services publics, les fournisseurs d’électricité Prykarpattya Oblenergo et Kyivoblenergo, ont suscité une grande inquiétude parmi les spécialistes de la sécurité. Depuis un certain temps, ceux-ci alertent sur les attaques ciblant les systèmes de contrôle industriels et les dommages importants qui peuvent en résulter. Selon l’opérateur Kyivoblenergo, l’attaque a déconnecté 30 sous-stations, privant 80 000 clients d’électricité pendant six heures. Le service a été rétabli quand les opérateurs ont pris le contrôle manuel des systèmes et rebasculé les disjoncteurs.

Une entreprise minière visée par Sandworm Team

Le malware utilisé dans les attaques est connu sous le nom de BlackEnergy. Selon l’entreprise de sécurité iSight Partners, il porte la signature d’un groupe de pirates surnommé Sandworm Team qui opèrerait depuis la Russie. Les relations entre l'Ukraine et la Russie sont tendues depuis que la Fédération a annexé la Crimée en 2014. Kyle Wilhoit pense que BlackEnergy a probablement infecté une entreprise minière. « Dans l’attaque qui a ciblé l’entreprise minière peu de temps avant, le malware a communiqué avec les mêmes serveurs de commande et de contrôle que ceux à l’origine de l’attaque contre les deux centrales électriques », a-t-il écrit.

L’entreprise minière a été également infectée par plusieurs versions de Killdisk. Le code de Killdisk écrase le Master Boot Record (MBR), le premier secteur du disque dur d'un PC, et rend l’ordinateur inutilisable. Killdisk écrase également les fichiers en écrivant des données inutiles. « On ne retrouve pas exactement les mêmes bouts de code dans les attaques antérieures contre l’entreprise minière, mais les caractéristiques spécifiques des échantillons et leur mode opératoire correspond, à peu de chose près, à ce que l’on a pu observer dans les attaques contre les fournisseurs d'électricité ukrainiens », a encore écrit le chercheur.

Puis un opérateur du rail 

Certains signes laissent penser que Killdisk a aussi affecté une entreprise ferroviaire ukrainienne. Trend Micro pense également que BlackEnergy a ciblé les systèmes de l’entreprise de chemin de fer. « Les infections repérées dans les systèmes de l’entreprise minière et de l’entreprise ferroviaire indiquent peut-être que les attaquants ont d’abord testé leur attaque et leur code base sur ces systèmes avant de cibler les centrales électriques », a écrit Kyle Wilhoit.