Le CERT ukrainien a annoncé que le groupe Sandworm, soutenu par l'État russe, avait lancé deux vagues de cyberattaques contre une installation électrique dont le nom n’a pas été divulgué. Les attaquants ont essayé de mettre hors service plusieurs composants issus de l’IT et de l’OT, notamment des sous-stations haute tension, des ordinateurs Windows, des serveurs fonctionnant avec des systèmes d'exploitation Linux et des équipements réseau. Le CERT a déclaré que la compromission initiale avait eu lieu au plus tard en février 2022, sans toutefois préciser comment elle s’était produite.

La déconnexion des sous-stations électriques et la mise hors service de l'infrastructure de l’installation étaient prévues pour le vendredi soir 8 avril 2022, mais « l’exécution de ce plan malveillant » a été empêchée. L'équipe ukrainienne a reçu l'aide de Microsoft et de la firme slovaque ESET pour éviter toute répercussion importante de ces attaques. Dans un rapport présentant son analyse des attaques, l’éditeur indique que sa collaboration avec le CERT a permis de découvrir une nouvelle variante du malware Industroyer, le même utilisé par le groupe Sandworm en 2016 pour mettre hors service le réseau électrique ukrainien.

Les systèmes IT et OT ciblés par Industroyer2

Industroyer2, comme l'appellent ESET et le CERT, a été déployé sous forme d'un seul exécutable Windows dénommé 108_100.exe et exécuté à l'aide d'une tâche planifiée le 08-04-2022 à 16:10:00 UTC. Cependant, selon l'horodatage du Portable Executable (PE), il a été compilé le 23-03-2022, ce qui laisse penser que les attaquants avaient planifié leur attaque depuis plus de deux semaines. Contrairement à Industroyer, la version 2 ne met en œuvre qu'un seul protocole d’ICS, IEC-104, pour communiquer avec les équipements industriels. ESET précise qu'Industroyer2 peut communiquer avec plusieurs appareils simultanément, l'échantillon analysé contenant les adresses IP de 8 appareils différents. Les attaquants ont déployé Industroyer2 dans le réseau ICS en même temps qu’une autre version du malware de sabotage CaddyWiper, vraisemblablement pour ralentir le processus de récupération et empêcher les opérateurs du fournisseur d'énergie de reprendre le contrôle des consoles ICS. ESET a découvert CaddyWiper pour la première fois en Ukraine le 14 mars, quand il a été déployé dans le réseau d'une banque.

En outre, ESET a également découvert des malwares Wiper pour Linux et Solaris appelés ORCSHRED, SOLOSHRED et AWFULSHRED sur le réseau du fournisseur d’électricité visée. Andrii Bezverkhyi, CEO et fondateur de l’entreprise spécialisée dans la détection des menaces SOC Prime basée à Salem (Maryland), est retourné en Ukraine, son pays d’origine, depuis le début de la guerre, avec une équipe de 15 personnes, pour fournir une aide bénévole en cybersécurité aux entreprises. La grande différence entre Industroyer et Industroyer2, c’est que « les capacités ont mûri », a déclaré M. Bezverkhyi. « Au lieu de s’attarder sur l'un des systèmes ICS, ils le frappent à des niveaux différents en ciblant à la fois les systèmes de contrôle industriel eux-mêmes, mais aussi les machines Windows et les équipements de réseau », a-t-il expliqué. Compte tenu des similitudes frappantes entre les attaques antérieures et ultérieures contre l'Ukraine, la Russie aurait beaucoup de mal à nier toute implication dans cette attaque, comme elle a tenté de le faire dans de nombreux autres cyber-incidents. « Les pirates se fichent complètement d’être démasqués, car la Russie attaque déjà l'Ukraine sur terre et dans les airs », a déclaré M. Bezverkhyi. « Alors, que pouvons-nous leur faire s'ils attaquent l’Ukraine dans le cyberespace ? ».

Neuf sous-stations mises hors tension

Même si la déclaration officielle du CERT ukrainien laisse entendre que les attaques de Sandworm n'ont pas abouti, une précédente alerte TLP (Traffic Light Protocol) Amber émise par le même organismes à l'intention de ses partenaires internationaux laisse penser qu'au moins deux attaques ont été « réussies », même si la cyberactivité malveillante a été déjouée. De plus, cette alerte indiquait que les attaquants avaient réussi à mettre temporairement hors tension neuf sous-stations du réseau électrique dans l'une des régions. « Cela n'a pas d'importance », selon M. Bezverkhyi. « Personne n'a signalé de panne de courant, y compris certains collègues qui étaient à Kiev ce matin. Ils ont dit qu’il y avait de l’électricité. Neuf sous-stations, ce n’est pas négligeable, mais si elles desservaient de petits villages, les pannes n’ont pas suscité d’intérêt médiatique ».

« Si Sandworm a effectivement mis hors service neuf sous-stations, le point est discutable », a déclaré Chris Sistrunk, responsable technique de la pratique ICS/OT Consulting de Mandiant, car l'analyse de ce type de situation prend du temps et il arrive que les informations soient incorrectes. Mais le plus important, « c'est qu’ils sont vraiment engagés dans une véritable guerre », a ajouté M. Sistrunk. « Les soldats russes s'approchent des centrales nucléaires et tirent sur les bâtiments, ils détruisent les lignes de transmission. C’est pourquoi, je continue de penser que dans ce brouillard de la guerre dans lequel nous nous trouvons, il est difficile de dire ce qui s'est réellement passé, et qu’il faut attendre », a encore déclaré M. Sistrunk. « Savoir si neuf sous-stations ont été touchées ou pas, n'a pas vraiment d'importance, car en ce moment même, certaines d'entre elles sont détruites physiquement par des bombes », a-t-il ajouté.

Une alerte pour les fournisseurs d'énergie américains

« Tous les fournisseurs d'énergie, y compris les fournisseurs américains, devraient s’intéresser à cette attaque et se demander si des pirates pourraient cibler les infrastructures des États-Unis ou d'autres pays », a déclaré Andrii Bezverkhyi. « Pour ma part, je dirais que oui, car l'Ukraine n'a pas inventé les équipements ICS des centrales électriques. Nous utilisons des équipements fabriqués aux États-Unis et en Europe. Pendant des années, voire des décennies, la Russie a organisé toutes sortes de compétitions de hackers visant spécifiquement à s’introduire dans des équipements ICS. Le groupe Sandworm a déjà réussi à s’introduire dans des équipements ICS. Alors qu’il y a aujourd’hui une véritable guerre, c'est juste une autre façon d'aggraver la vie des Ukrainiens », a encore expliqué Chris Sistrunk de Mandiant.

Selon lui, il est tout à fait plausible que le malware Industroyer2 ait été remanié pour cibler d'autres protocoles que le protocole IEC-104, peu utilisé aux États-Unis. « Tel quel, malware Industroyer2 ne fonctionnerait pas sur les sous-stations américaines ou nord-américaines, sauf si par hasard elles utilisent le protocole IEC-104 ». De plus, les grands services publics américains sont en alerte depuis que la CISA a émis un avertissement « Shields Up » après le début de l'invasion de l'Ukraine par la Russie. « Mais, la principale préoccupation concerne les petites compagnies d'électricité, comme celles appartenant aux municipalités », a encore déclaré M. Sistrunk.

L'Ukraine a renforcé ses cyberdéfenses

« Ces gars dans les tranchées qui défendent le réseau électrique ukrainien écoutent les bombes, les missiles et les balles qui tombent à l'extérieur de leur bâtiment pendant qu'ils se défendent », a expliqué Chris Grove, cyber-stratège chez Nozomi Networks. « Ils savent que si le réseau tombe en panne, ils perdront la guerre, les hôpitaux n'auront plus d'électricité, etc. Ils sont donc très concentrés ». Depuis les précédentes cyberattaques contre le réseau électrique ukrainien, de nombreuses entreprises ont investi du temps pour aider l'Ukraine à renforcer sa cyberdéfense. « Le fait que cette attaque ait été stoppée dans son élan aussi en amont, avant qu'elle ne puisse faire de dégâts, est le résultat de ces efforts. Je pense que cela aurait pu être bien pire, et nous aurions pu assister à un événement semblable à celui de 2016, où la cyberattaque avait provoqué des pannes massives et les défenseurs n’avaient pas complètement compris ce qui se passait ».

Chris Grove pense que les compagnies d'électricité américaines devraient être en alerte pour contrer une attaque Industroyer2, car du fait de la modularité du malware, il serait facile « de brancher un autre protocole, si ce n'est pas une correspondance directe, ce qui veut dire qu’il pourrait être facilement modifié pour fonctionner sur d'autres systèmes », a ajouté le cyber-stratège. Dans l'ensemble, ce dernier estime que les États-Unis sont bien armés pour faire face aux cyberattaques russes. « Il y aura toujours une marge d'amélioration, mais nous y arrivons », a-t-il déclaré, en évoquant la Coalition pour la cybersécurité des technologies opérationnelles (OT Cyber Coalition) que Nozomi a annoncée avec Claroty, Forescout, Honeywell et Tenable.