Skip to content
CBCyber Breaches
Recherche
EspionnageContenu

Attaque contre le réseau électrique ukrainien — Sandworm BlackEnergy (2015)

Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.

Victime
Distributeurs régionaux d'électricité ukrainiens (oblenergos)
utilisateurs
230.0K
SecteurÉnergieGouvernement
PaysUkraine
GroupeSandworm

Le 23 décembre 2015, le groupe Sandworm — attribué au GRU russe — est devenu la première opération cybernétique à mettre hors service un réseau électrique national. L'attaque a désactivé trois distributeurs régionaux d'électricité ukrainiens (oblenergos) et coupé l'électricité d'environ 230 000 clients pendant 1 à 6 heures, durant l'une des semaines les plus froides de l'hiver ukrainien.

Ce qui s'est passé

L'intrusion a commencé des mois avant la coupure. Les opérateurs de Sandworm ont envoyé des courriels d'hameçonnage ciblé transportant des pièces jointes Microsoft Office malveillantes infectées par BlackEnergy3. À partir de leur point d'ancrage initial sur le réseau informatique, ils ont mené de la reconnaissance, collecté des identifiants et cartographié l'environnement SCADA contrôlant les sous-stations de distribution des oblenergos.

Le 23 décembre, ils ont basculé de l'IT vers l'OT. Avec l'accès aux HMI des opérateurs, ils ont commencé à ouvrir manuellement les disjoncteurs des sous-stations dans trois régions — les oblasts d'Ivano-Frankivsk, Tchernivtsi et Kiev. Les opérateurs voyaient sur leurs écrans les disjoncteurs s'ouvrir sous contrôle à distance. Environ 225 000 à 230 000 clients ont perdu l'électricité.

Les attaquants ne se sont pas arrêtés à la coupure. Ils ont ensuite déployé KillDisk pour effacer les postes industriels, détruit les convertisseurs série-Ethernet qui reliaient les équipements série hérités des sous-stations à la trame SCADA moderne, désactivé les onduleurs pour maximiser le chaos opérationnel, et lancé une attaque par TDoS (déni de service téléphonique) contre les lignes du service client des oblenergos afin d'empêcher les clients de signaler les coupures et de ralentir la réponse.

L'électricité a été rétablie manuellement en 1 à 6 heures en envoyant physiquement des opérateurs aux sous-stations pour actionner les disjoncteurs à la main. Le rétablissement complet de la fonctionnalité SCADA a pris des mois.

Impact

  • Environ 230 000 clients privés d'électricité pendant 1 à 6 heures.
  • Trois oblenergos régionaux frappés simultanément.
  • KillDisk a détruit les postes opérateur et les passerelles série-Ethernet.
  • Attaques TDoS contre les lignes téléphoniques du service client.
  • Restauration manuelle ; la reprise SCADA a pris des mois.

Pourquoi cela compte

L'attaque ukrainienne de 2015 est le cas fondateur des attaques cyber-physiques publiques contre les infrastructures critiques. Tous les cadres de défense des réseaux ultérieurs — NIST SP 800-82, la série IEC 62443, les révisions NERC CIP — y font référence. Sandworm l'a suivie l'année suivante (décembre 2016) avec Industroyer dans une sous-station de transport à Kiev ; la lignée se prolonge avec NotPetya (2017), Industroyer2 (2022) et l'ensemble plus large des opérations cybernétiques russes contre l'Ukraine lors de l'invasion à grande échelle.

Chronologie

  1. Sandworm obtient l'accès initial aux réseaux informatiques de trois oblenergos ukrainiens via des courriels d'hameçonnage ciblé transportant des pièces jointes Microsoft Office malveillantes infectées par BlackEnergy3.

  2. Les attaquants prennent le contrôle des SCADA chez trois distributeurs régionaux d'électricité et ouvrent à distance les disjoncteurs des sous-stations dans les oblasts d'Ivano-Frankivsk, Tchernivtsi et Kiev. Environ 225 000 à 230 000 clients perdent l'électricité pendant 1 à 6 heures.

  3. Les attaquants déploient KillDisk pour effacer les postes industriels, détruire les convertisseurs série-Ethernet dans les sous-stations, désactiver les onduleurs et inonder les lignes téléphoniques des opérateurs d'appels TDoS pour retarder la réponse à incident.

  4. La CISA publie l'alerte officielle (IR-ALERT-H-16-056-01) confirmant l'attaque contre le réseau ukrainien.

  5. Le SANS et l'Electricity ISAC publient l'analyse post-incident détaillée ; l'opération est publiquement attribuée à Sandworm.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/2015_Ukraine_power_grid_hack
  2. cisa.govhttps://www.cisa.gov/news-events/ics-alerts/ir-alert-h-16-056-01
  3. attack.mitre.orghttps://attack.mitre.org/campaigns/C0028/
  4. nsarchive.gwu.eduhttps://nsarchive.gwu.edu/sites/default/files/documents/3891751/SANS-and-Electricity-Information-Sharing-and.pdf
  5. cloud.google.comhttps://cloud.google.com/blog/topics/threat-intelligence/ukraine-and-sandworm-team

Incidents liés

EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
EspionnageContenu

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)
RançongicielContenu

Rançongiciel DoppelPaymer chez Pemex (Mexique, 2019)

Le rançongiciel DoppelPaymer a paralysé les systèmes informatiques d'entreprise de la compagnie pétrolière publique mexicaine Pemex, gelant pendant des semaines paiements et communications. Les attaquants exigeaient 565 BTC (~5 M$). Pemex a refusé de payer ; le coût total de remédiation a atteint environ 71 millions de dollars.

Victim
Petróleos Mexicanos (Pemex)
Loss
$71.0M