Les cyberattaquants Sandworm ont détruit le réseau électrique ukrainien lors de frappes de missiles

Le tristement célèbre groupe russe Sandworm Advanced Persistant Threat (APT) a utilisé des techniques de survie de la terre (LotL) pour précipiter une panne de courant dans une ville ukrainienne en octobre 2022, coïncidant avec un barrage de frappes de missiles.

Sandworm, lié au Centre principal russe des technologies spéciales, a une longue histoire de cyberattaques en Ukraine : Pannes de courant induites par BlackEnergy en 2015 et 2016, le fameux essuie-glace NotPetya, et des campagnes plus récentes chevauchant la guerre en Ukraine. Dans une certaine mesure, la guerre a servi d’écran de fumée aux cyberattaques les plus récentes, d’ampleur comparable.

Prenons un exemple d'octobre 2022, décrit aujourd'hui dans un rapport de Mandiant. Lors d'une averse de 84 missiles de croisière et 24 attaques de drones Dans 20 villes ukrainiennes, Sandworm a tiré profit de deux mois de préparation et a provoqué une panne de courant inattendue dans une ville touchée.

Contrairement aux précédentes attaques de grille Sandworm, celle-ci ne se distinguait pas par une cyber-armement avancé. Au lieu de cela, le groupe a profité des binaires LotL pour saper les cyberdéfenses des infrastructures critiques de plus en plus sophistiquées de l'Ukraine.

Pour John Hultquist, analyste en chef de Mandiant, cela crée un précédent inquiétant. « Nous allons devoir nous poser des questions difficiles quant à savoir si nous pouvons ou non nous défendre contre quelque chose comme ça », dit-il.

Encore une autre panne de courant de Sandworm

Bien que la méthode exacte de l'intrusion soit encore inconnue, les chercheurs ont daté la première intrusion de Sandworm dans la sous-station ukrainienne au moins en juin 2022.

Peu de temps après, le groupe a réussi à combler le fossé entre les réseaux informatiques et de technologie opérationnelle (OT) et à accéder à un hyperviseur hébergeant une instance de gestion de contrôle de supervision et d'acquisition de données (SCADA) (où les exploitants d'usine gèrent leurs machines et leurs processus).

Après jusqu'à trois mois d'accès SCADA, Sandworm a choisi son moment. Coïncidant (par coïncidence ou non) avec une attaque de guerre cinétique le même jour, il a utilisé un fichier image de disque optique (ISO) pour exécuter un binaire natif du système de contrôle MicroSCADA. Les commandes précises sont inconnues, mais le groupe a probablement utilisé un serveur MicroSCADA infecté pour envoyer des commandes aux unités terminales distantes (RTU) de la sous-station, leur demandant d'ouvrir les disjoncteurs et ainsi de couper l'alimentation.

Deux jours après la panne, Sandworm est revenu pendant quelques secondes, déployant une nouvelle version de son malware d'effacement CaddyWiper. Cette attaque n’a pas touché les systèmes industriels – uniquement le réseau informatique – et visait peut-être à effacer les preuves médico-légales de leur première attaque, ou simplement à provoquer de nouvelles perturbations.

La Russie contre l’Ukraine devient plus équilibrée

Les attaques BlackEnergy et NotPetya de Sandworm ont été des événements marquants dans l'histoire de la cybersécurité, de l'Ukraine et de l'armée, affectant à la fois la façon dont les puissances mondiales perçoivent la combinaison de la cyberguerre cinétique et la manière dont les défenseurs de la cybersécurité protègent les systèmes industriels.

En raison de cette prise de conscience accrue, depuis des années, des attaques similaires perpétrées par le même groupe sont loin d’être à la hauteur de leurs premières normes. Il y avait par exemple la deuxième attaque d'Industroyer, peu de temps après l'invasion – même si le malware était tout aussi puissant, sinon plus, que celui qui a renversé le pouvoir de l'Ukraine en 2016, l'attaque dans son ensemble n'a pas eu de conséquences graves.

"Vous pouvez regarder l'histoire de cet acteur qui a essayé d'exploiter des outils comme Industroyer et qui a finalement échoué parce qu'ils ont été découverts", explique Hultquist, tout en se demandant si cette dernière affaire a constitué un tournant.

"Je pense que cet incident démontre qu'il existe une autre voie et, malheureusement, cette autre voie va vraiment nous mettre au défi en tant que défenseurs, car c'est quelque chose contre lequel nous ne pourrons pas nécessairement utiliser des signatures et rechercher en masse. ," il dit. "Nous allons devoir travailler très dur pour trouver ce genre de choses."

Il propose également une autre façon de considérer l'histoire cybernétique russo-ukrainienne : moins les attaques russes sont devenues plus calmes que les défenses ukrainiennes sont devenues plus robustes.

« Si les réseaux ukrainiens avaient été soumis à la même pression qu'aujourd'hui, avec les mêmes défenses qui étaient en place il y a peut-être dix ans, la situation aurait été bien différente », conclut Hultquist. "Ils sont plus expérimentés que quiconque dans la défense contre la cyberguerre, et nous avons beaucoup à apprendre d'eux."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes