Les célèbres pirates informatiques russes connus sous le nom de Sandworm ont ciblé une sous-station électrique en Ukraine l’année dernière, provoquant une brève panne de courant en octobre 2022.
Les conclusions proviennent de Mandiant de Google, qui a décrit le piratage comme une « cyberattaque multi-événements » exploitant une nouvelle technique pour avoir un impact sur les systèmes de contrôle industriel (ICS).
« L’acteur a d’abord utilisé des techniques de vie hors du terrain (LotL) de niveau OT pour probablement déclencher les disjoncteurs de la sous-station de la victime, provoquant une panne de courant imprévue qui a coïncidé avec des frappes massives de missiles sur des infrastructures critiques à travers l’Ukraine », a déclaré la société.
« Sandworm a ensuite mené un deuxième événement perturbateur en déployant une nouvelle variante de CaddyWiper dans l’environnement informatique de la victime. »
La société de renseignement sur les menaces n’a pas révélé l’emplacement de l’installation énergétique ciblée, la durée de la panne d’électricité et le nombre de personnes touchées par l’incident.
Ce développement marque les efforts continus de Sandworm pour organiser des attaques perturbatrices et compromettre le réseau électrique en Ukraine depuis au moins 2015 à l’aide de logiciels malveillants tels que Industroyer.
Le vecteur initial exact utilisé pour l’attaque cyber-physique n’est actuellement pas clair, et on pense que l’utilisation des techniques LotL par l’acteur malveillant a réduit le temps et les ressources nécessaires pour y parvenir.
On pense que l’intrusion s’est produite vers juin 2022, les acteurs de Sandworm ayant accès à l’environnement de technologie opérationnelle (OT) via un hyperviseur qui hébergeait une instance de gestion de contrôle de supervision et d’acquisition de données (SCADA) pour l’environnement de la sous-station de la victime.
Le 10 octobre 2022, un fichier image de disque optique (ISO) a été utilisé pour lancer un logiciel malveillant capable d’éteindre les sous-stations, entraînant une panne de courant imprévue.
« Deux jours après l’événement OT, Sandworm a déployé une nouvelle variante de CaddyWiper dans l’environnement informatique de la victime pour provoquer davantage de perturbations et potentiellement supprimer les artefacts médico-légaux », a déclaré Mandiant.
CaddyWiper fait référence à un logiciel malveillant d’effacement de données qui a été découvert pour la première fois en mars 2022 dans le cadre de la guerre russo-ukrainienne.
L’exécution finale de l’attaque, a noté Mandiant, a coïncidé avec le début d’une série de frappes de missiles coordonnées sur plusieurs jours contre des infrastructures critiques dans un certain nombre de villes ukrainiennes, y compris la ville dans laquelle se trouvait la victime anonyme.
« Cette attaque représente une menace immédiate pour les environnements d’infrastructures critiques ukrainiens exploitant le système de contrôle de supervision MicroSCADA », a déclaré la société.
« Compte tenu de l’activité mondiale des menaces de Sandworm et du déploiement mondial des produits MicroSCADA, les propriétaires d’actifs du monde entier devraient prendre des mesures pour atténuer leurs tactiques, techniques et procédures contre les systèmes informatiques et opérationnels. »
