Les chercheurs ont découvert des logiciels malveillants conçus pour perturber la transmission de l’énergie électrique et pourraient avoir été utilisés par le gouvernement russe dans des exercices de formation pour créer ou répondre à des cyberattaques sur les réseaux électriques.
Connu sous le nom de CosmicEnergy, le logiciel malveillant a des capacités comparables à celles trouvées dans les logiciels malveillants connus sous le nom d’Industroyer et Industroyer2, qui ont tous deux été largement attribués par les chercheurs à Sandworm, le nom de l’un des groupes de piratage les plus qualifiés et les plus féroces du Kremlin. Sandworm a déployé Industroyer en décembre 2016 pour déclencher une panne de courant à Kiev, en Ukraine, qui a laissé une grande partie de la ville sans électricité pendant une heure. L’attaque s’est produite près d’un an après qu’une précédente a interrompu l’alimentation de 225 000 Ukrainiens pendant six heures. Industroyer2 a été découvert l’année dernière et aurait été utilisé dans une troisième attaque contre les réseaux électriques ukrainiens, mais il a été détecté et arrêté avant qu’il ne puisse réussir.
Les attaques ont illustré la vulnérabilité de l’infrastructure électrique et l’habileté croissante de la Russie à l’exploiter. L’attaque de 2015 a utilisé un logiciel malveillant réutilisé appelé BlackEnergy. Alors que le BlackEnergy3 qui en a résulté a permis à Sandworm de s’introduire avec succès dans les réseaux d’entreprise des compagnies d’électricité ukrainiennes et d’empiéter davantage sur leurs systèmes de contrôle de surveillance et d’acquisition de données, le logiciel malveillant n’avait aucun moyen de s’interfacer directement avec les équipements technologiques opérationnels.
L’attaque de 2016 était plus sophistiquée. Il a utilisé Industroyer, un logiciel malveillant écrit à partir de rien et conçu pour pirater les systèmes de réseau électrique. Industroyer se distinguait par sa maîtrise des processus industriels obscurs utilisés par les opérateurs de réseaux ukrainiens. Industroyer communiquait nativement avec ces systèmes pour leur demander de désactiver puis de réactiver les lignes des sous-stations. Comme l’a rapporté Andy Greenberg, journaliste de WIRED :
Industroyer était capable d’envoyer des commandes aux disjoncteurs à l’aide de l’un des quatre protocoles de système de contrôle industriel, et cela permettait d’échanger les composants modulaires du code de ces protocoles afin que le logiciel malveillant puisse être redéployé pour cibler différents utilitaires. Le logiciel malveillant comprenait également un composant pour désactiver les dispositifs de sécurité appelés relais de protection – qui coupent automatiquement le flux d’énergie s’ils détectent des conditions électriques dangereuses – une fonctionnalité qui semblait conçue pour causer des dommages physiques potentiellement catastrophiques à l’équipement de la station de transmission ciblée lorsque les opérateurs d’Ukrenergo remis le courant.
Industroyer2 contenait des mises à jour d’Industroyer. Bien qu’échouant finalement, son utilisation dans une troisième tentative d’attaque a signalé que les ambitions du Kremlin de pirater l’infrastructure électrique ukrainienne restaient une priorité absolue.
Compte tenu de l’histoire, la détection de nouveaux logiciels malveillants conçus pour provoquer des coupures de courant généralisées préoccupe et intéresse les personnes chargées de défendre les réseaux. L’inquiétude est encore plus grande lorsque le logiciel malveillant a des liens potentiels avec le Kremlin.
Des chercheurs de Mandiant, la société de sécurité qui a trouvé CosmicEnergy, ont écrit :
COSMICENERGY est le dernier exemple de logiciel malveillant OT spécialisé capable de provoquer des impacts cyberphysiques, qui sont rarement découverts ou divulgués. Ce qui rend COSMICENERGY unique, c’est que sur la base de notre analyse, un entrepreneur peut l’avoir développé comme un outil d’équipe rouge pour des exercices de simulation de coupure de courant hébergés par Rostelecom-Solar, une société russe de cybersécurité. L’analyse du logiciel malveillant et de ses fonctionnalités révèle que ses capacités sont comparables à celles utilisées dans les incidents et logiciels malveillants précédents, tels que INDUSTRIE et INDUSTROYER.V2qui étaient toutes deux des variantes de logiciels malveillants déployées dans le passé pour avoir un impact sur la transmission et la distribution d’électricité via IEC-104.
La découverte de COSMICENERGY montre que les barrières à l’entrée pour développer des capacités OT offensives diminuent à mesure que les acteurs exploitent les connaissances des attaques précédentes pour développer de nouveaux logiciels malveillants. Étant donné que les acteurs de la menace utilisent des outils d’équipe rouge et des cadres d’exploitation publics pour des activités de menace ciblées dans la nature, nous pensons que COSMICENERGY constitue une menace plausible pour les actifs du réseau électrique concernés. Les propriétaires d’actifs OT utilisant des appareils conformes à la norme IEC-104 doivent prendre des mesures pour anticiper le potentiel du déploiement sauvage de COSMICENERGY.
À l’heure actuelle, le lien est circonstanciel et se limite principalement à un commentaire trouvé dans le code suggérant qu’il fonctionne avec un logiciel conçu pour des exercices d’entraînement parrainés par le Kremlin. Conformément à la théorie selon laquelle CosmicEnergy est utilisé dans les soi-disant exercices Red Team qui simulent des hacks hostiles, le logiciel malveillant n’a pas la capacité de s’enfouir dans un réseau pour obtenir des informations sur l’environnement qui seraient nécessaires pour exécuter une attaque. Le logiciel malveillant comprend des adresses d’objets d’information codées en dur généralement associées à des commutateurs de lignes électriques ou à des disjoncteurs, mais ces mappages devraient être personnalisés pour une attaque spécifique car ils diffèrent d’un fabricant à l’autre.
« Pour cette raison, les actions particulières prévues par l’acteur ne sont pas claires sans plus de connaissances sur les actifs ciblés », ont écrit les chercheurs de Mandiant.
