CERT-UA, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques de l’Ukraine, affirme avoir déjoué une cyberattaque contre l’un des principaux fournisseurs d’électricité du pays, avec le concours de Microsoft et de ESET.
Elle avait pour but de démanteler ses infrastructures énergétiques pour le 8 avril au soir.
Son commanditaire, la Russie, l’aurait préparé depuis au moins deux semaines.
Les trois partenaires ont découvert l’exploitation d’une nouvelle variante, Industroyer 2, d’un logiciel malveillant, Industroyer, conçu par une organisation répertoriée sous le nom Sandwom APT, qui fut à l’origine d’une énorme panne d’électricité en Ukraine en 2016.
D’autres familles de logiciels malveillants ont été mises à contribution : CaddyWiper, ORCSHRED, SOLOSHRED et AWFULSHRED.
Si l’on ne sait pas encore comment les attaquants ont compromis leur première victime, on sait qu’ils se sont déplacés d’un segment à l’autre des réseaux de systèmes de contrôles industriels avec des chaines de tunnels SSH.
De tels tunnels permettent à son utilisateur de transférer des connexions d’un port de son ordinateur portable à un système distant.
La Cybersecurity and Infrastructure Security Agency, l’agence fédérale en charge de l’amélioration et de la coordination de la sécurité informatique aux Etats-Unis, a annoncé sur Twitter sa collaboration avec CERT-UA.