Le mois dernier, une cyberattaque ciblant une centrale électrique ukrainienne avait privé d’électricité l’Ouest du pays. Hier, iSight Partners, une société de cybersécurité dont le siège est à Dallas, a déclaré que l’attaque avait probablement été initiée par un groupe de hackers soutenus par de puissants intérêts russes. Plus précisément, l’entreprise de sécurité pense qu’un groupe de pirates connu sous le nom de Sandworm est sans doute impliqué. « C’est en comparant un échantillon du malware Killdisk qui a servi pour l’attaque avec un bout de code appelé BlackEnergy 3, déjà utilisé par Sandworm dans le passé, qui a permis de faire le lien avec le groupe russe », a écrit John Hultquist, spécialiste du cyber espionnage chez iSight Partners.
Dans un message posté la semaine dernière, une autre entreprise de sécurité, l’ESET, a écrit que des échantillons de BlackEnergy contenaient des composants de Killdisk. L’action du malware consiste à remplacer ou à supprimer des fichiers. En novembre, le centre d'alerte et de réaction aux attaques informatiques (CERT) ukrainien avait révélé que les médias du pays avaient été ciblés par BlackEnergy au moment de la tenue d’élections locales dans le pays.
Des attaques attendues depuis plusieurs années
C’est en en octobre 2014, qu’iSight Partners a évoqué pour la première fois la piste de Sandworm. Depuis, plusieurs entreprises de sécurité ont rendu compte des activités du groupe. Selon un document fourni par iSight au Washington Post, Sandworm a ciblé l'OTAN, des organismes gouvernementaux occidentaux et ukrainiens et des fournisseurs d'énergie. La dernière attaque, qui a eu lieu le 23 décembre contre un établissement géré par le prestataire de services Prykarpattyaoblenergo, a provoqué l’arrêt de la fourniture d’énergie par la centrale : selon l'agence Reuters, qui cite le rapport d'un groupe américain spécialisé dans la sécurité de l'industrie énergétique, 80.000 clients ont été privés d’électricité pendant six heures.
L'attaque a suscité une forte inquiétude. Cela fait des années que les experts en sécurité alertent sur la vulnérabilité des systèmes de contrôle utilisés dans l'industrie énergétique. « Même si elle était prévisible, une cyberattaque de cette nature marque une étape importante », estime John Hultquist. « Les systèmes critiques d’Europe et des États-Unis visés par l'équipe de Sandworm permettaient déjà de voir quelles cibles intéressaient le groupe et de supposer la préparation de cyber attaques du même genre ». Depuis l’annexion, en 2014, de la Crimée par la Russie, les tensions avec l’Ukraine restent fortes.
Commentaire