C’est le virus Industroyer qui peut perturber les installations industrielles (d’où son nom). Le logiciel a été utilisé pour la première fois en 2016 par le groupe Sandworm APT, derrière lequel se trouvaient des officiers de l’unité militaire russe 74455 de la Direction principale du renseignement (GRU). Même alors, les conséquences de l’attaque ont été très graves, puisque les actions des pirates ont conduit à l’arrêt de l’approvisionnement en énergie de l’Ukraine.
L’Ukraine sous la menace d’une grave cyberattaque par le logiciel Industroyer
Des chercheurs d’ESET et du CERT ukrainien ont récemment découvert une nouvelle variante de malware appelée Industroyer2. La nouvelle version peut être mieux adaptée au scénario d’attaque, et le logiciel comprend une configuration détaillée codée en dur qui contrôle ses actions.
Cette version crée des restrictions pour les attaquants qui doivent recompiler Industroyer2 pour chaque nouvelle victime ou environnement. Cependant, étant donné que la famille Industroyer n’a été utilisée que deux fois jusqu’à présent, avec un intervalle de cinq ans entre chaque version, ce n’est probablement pas une limitation pour les opérateurs du groupe Sandworm, déclare Kamil Sadkowski, spécialiste principal de la cybersécurité chez ESET. « Pour le moment, nous ne savons pas comment les attaquants sont passés du réseau informatique au réseau ICS », ajoute-t-il.
Le malveillant « Industroy » a été déployé dans des sous-stations à haute tension, ce qui aurait dû entraîner des problèmes beaucoup plus importants qu’en 2016. Il convient d’ajouter que les attaquants ont également utilisé d’autres outils ici (dont CaddyWiper, un programme d’effacement du contenu des disques durs ), qui étaient censées ralentir le processus de récupération et causer encore plus de dégâts. L’attaque devait commencer le 8 avril 2022.
Nous pensons que l’utilisation de CaddyWiper visait à ralentir le processus de récupération du système et à empêcher les opérateurs de services publics de reprendre le contrôle des consoles ICS. Le CaddyWiper a également été placé sur la machine qui exécutait le logiciel Industroyer2, probablement pour couvrir toutes les traces , résume Kamil Sadkowski.
Ce n’est un secret pour personne que l’attaque des sous-stations à haute tension était planifiée de longue date. Selon les experts d’ESET, la création d’Industroyer nécessitait une bonne connaissance du système qui devait devenir sa victime. De plus, l’analyse du code a montré que cette version d’Industroyer2 a été compilée le 23 mars 2022, ce qui suggère que les attaquants planifiaient l’attaque depuis plus de deux semaines. Qui est derrière l’attaque ? Tout porte à croire qu’il s’agit à nouveau du groupe russe APT Sandworm.
Source : ESET, CERTUA
Laisser un commentaire