La panne de courant ayant affecté une partie de Kiev, la capitale de l’Ukraine, pendant une heure en 2016, aurait été causée par une cyberattaque, affirment aujourd’hui des chercheurs de l’ESET et de Dragos.

Le logiciel malveillant, nommé soit Industroyer, soit Crash Override, est capable d’endommager en profondeur le réseau électrique, et pourrait être adapté pour s’attaquer à d’autres types d’infrastructures.

Selon les experts, l’attaque sur Kiev n’était qu’un test du bon fonctionnement du logiciel malveillant : la panne aurait pu être bien plus sévère, de l’arrêt de la distribution à des pannes en cascade, et l’endommagement permanent d’équipement critique.

Industroyer est très dangereux, car il peut directement contrôler les commutateurs et les disjoncteurs des stations électriques, en exploitant les protocoles utilisés dans le monde entier pour les réseaux électriques, les systèmes de contrôle des transports, et d’autres infrastructures critiques, comme la distribution d’eau et de gaz.

Ces protocoles ont été conçus il y a des décennies, alors que les systèmes industriels étaient isolés : la sécurité n’était pas une considération.

Crash Override s’attaque à quatre de ces protocoles, ce qui prouve leur connaissance intime par ses auteurs, cache ses communications avec son serveur de commande & contrôle avec Tor, et efface toute trace quand sa mission est terminée.

Deux portes dérobées sont installées : la principale, et une seconde, se faisant passer pour Notepad, pour regagner le contrôle du réseau visé si la porte dérobée principale était inactive ou détectée.

Crash Override est le deuxième logiciel malveillant connu s’attaquant aux infrastructures physiques. Le premier étant Stuxnet, utilisé par les États-Unis et Israël pour détruire les centrifugeuses d’une usine d’enrichissement d’uranium en Iran en 2009.

Pour les auteurs du rapport, Crash Override est un coup de semonce pour les responsables de la sécurité des infrastructures du monde entier.