Pour les fêtes, BlackEnergy a mis les petits plats dans les grands. Connu pour s'attaquer aux entreprises du secteur de l'énergie, le groupe de cyberespionnage a en effet complété son arsenal de piratage avec au menu un outil d'effacement de disque et un serveur SSH truffé de portes dérobées.

Actif depuis plusieurs années et ciblant en particulier les systèmes de contrôle industriel, ce groupe s'est attaqué ces derniers mois à des organisations du secteur de l'industrie mais également des médias en Ukraine, selon des chercheurs en sécurité d'Eset. Le mode opératoire utilisé a fait apparaître quelques changements dans les techniques jusqu'alors utilisées par le groupe. Toujours selon Eset, le composant KillDisk a été configuré par BlackEnergy pour effacer certains fichiers spécifiques et rendre les systèmes infectés indémarrables. En novembre, le Computer Emergency Response Team d'Ukraine (CERT-UA) a fait état pendant les élections locales dans ce pays en octobre que des attaques sur des médias avec le malware de BlackEnergy avaient abouti à la suppression de contenus vidéos et d'autres données. Ce dernier était d'ailleurs configuré pour effacer 4 000 fichiers de ce type.

Un malware finement configuré

Le même composant malveillant a aussi été utilisé contre d'autres entreprises ukrainiennes mais pour cibler 35 extensions de fichiers, couplée à une option d'attaque planifiée. Dans leur billet de blog, les chercheurs d'Eset ont également précisé que KillDisk dispose de fonctionnalités pour saboter des systèmes industriels. Ce n'est la première fois que BlackEnergy s'attaque à des systèmes de contrôle industriel : en 2014, la division ICS-CERT du département de la sûreté intérieure américaine (Homeland) avait alerté que de multiples sociétés faisant tourner des solutions IHM pour certains systèmes de General Electric, Simens et BroadWin/Advantech avaient été infectés par BlackEnergy.

Le groupe de cyberespionnage a également étoffé son arsenal de piratage avec une version corrompue d'un serveur SSH. Baptisé Dropbear, ce dernier embarque une porte dérobée (backdoor). Les chercheurs d'Eset se sont d'ailleurs aperçus que les attaquants de BlackEnergy ont déployé une variante de ce logiciel sur des machines compromises ayant été pré-configurées pour accepter des mots de passe codés en dur et une clé d'authentification SSH.