Des chercheurs révèlent le fonctionnement d’Industroyer, le malware qui a provoqué un blackout électrique en Ukraine

Général

Par Gaël Weiss le

En décembre 2015 puis en décembre 2016 le réseau électrique ukrainien a été attaqué par un mystérieux malware qui a provoqué de gigantesques coupures d’électricité dans certaines régions du pays. Des chercheurs se sont penchés sur l’architecture et le fonctionnement du malware et leurs conclusions ne sont pas franchement réjouissantes : Industroyer, ou CrashOverride, puisque c’est le nom que leur ont donné les chercheurs, pourrait très facilement être modifié pour s’adapter aux réseaux électriques européens, asiatiques ou du Moyen-Orient.

Comment des hackers ont-ils bien pu réussir à faire tomber durant plusieurs heures le réseau électrique d’un pays à l’aide d’un malware ? C’est la question que se sont posés les chercheurs en sécurité de deux entreprises, Eset et Dragos, suite à un blackout provoqué par un malware en décembre 2015 et en décembre 2016 (voir notre actualité : « Des hackers provoquent un blackout en Ukraine »).

Industroyer/CrashOverride le malware machiavélique capable de faire disjoncter des transformateurs électriques

La réponse tient en deux noms : Industroyer, c’est le nom donné par Eset, ou CrashOverride, puisque c’est comme cela que l’a appelé Dragos. Il s’agit d’un malware complexe qui utilise des backdoors pour s’introduire sur les PC des administrateurs du réseau électrique d’un PC, installent des modules de prise de contrôle à distance et de scan du réseau (pour trouver de nouveaux PC à infecter) et enfin efface les fichiers système d’un PC sur lequel il est installé pour installer un peu plus le chaos et ne laisser aucune trace de son activité. Machiavélique.

Le rapport de Eset est de loin le plus clair et le plus complet. Les chercheurs y expliquent qu’en soit, le malware n’est techniquement pas très complexe. Ce qui est plus impressionnant en revanche, ce sont les connaissances du réseau électrique attaqué par les hackers, ce qui laisse penser qu’ils sont soit extrêmement organisés, soient soutenus par un état. Les modules de prise de contrôle et de scan des ports doivent en effet être capables d’identifier précisément les cibles à attaquer et être lancés au bon moment pour que l’attaque soit efficace.

Les hackers ont tout d’abord utilisé les backdoors du malware pour prendre le contrôle des comptes administrateurs et système et espionner durant des mois les habitudes des employés et des cadres et scanner le trafic réseau. Une fois le fonctionnement du réseau informatique et électrique parfaitement connu, ils peuvent alors lancer leur attaque. En prenant le contrôle de différents ordinateurs situés sur le réseau informatique, les hackers sont alors capables de faire sauter les disjoncteurs d’un ou de plusieurs transformateurs et de provoquer le blackout. Le seul moyen pour les employés de reprendre le contrôle est de se rendre physiquement au disjoncteur pour le replacer correctement.

Un malware qu’il sera facile de transposer sur les réseaux européens et asiatiques

Selon les différents chercheurs en sécurité, Industroyer est une menace à prendre très au sérieux. Du fait de sa grande modularité et de sa capacité à surveiller facilement le fonctionnement des réseaux, il pourrait très bien s’exporter en Europe, en Asie et au Moyen-Orient. Les protocoles utilisés aux États-Unis sont quant à eux différents et ne pourraient pas directement être touchés par le malware. Mais cela ne signifie pas pour autant que les centrales américaines sont à l’abri. Au début de l’année, un malware russe aurait ainsi été détecté dans l’ordinateur d’une compagnie d’électricité américaine.

Source: Source