Skip to content
EspionnageContenu

Attaque contre le réseau électrique ukrainien — Sandworm BlackEnergy (2015)

Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.

Victime
Distributeurs régionaux d'électricité ukrainiens (oblenergos)
utilisateurs
230.0K

Le 23 décembre 2015, le groupe Sandworm — attribué au GRU russe — est devenu la première opération cybernétique à mettre hors service un réseau électrique national. L'attaque a désactivé trois distributeurs régionaux d'électricité ukrainiens (oblenergos) et coupé l'électricité d'environ 230 000 clients pendant 1 à 6 heures, durant l'une des semaines les plus froides de l'hiver ukrainien.

Ce qui s'est passé

L'intrusion a commencé des mois avant la coupure. Les opérateurs de Sandworm ont envoyé des courriels d'hameçonnage ciblé transportant des pièces jointes Microsoft Office malveillantes infectées par BlackEnergy3. À partir de leur point d'ancrage initial sur le réseau informatique, ils ont mené de la reconnaissance, collecté des identifiants et cartographié l'environnement SCADA contrôlant les sous-stations de distribution des oblenergos.

Le 23 décembre, ils ont basculé de l'IT vers l'OT. Avec l'accès aux HMI des opérateurs, ils ont commencé à ouvrir manuellement les disjoncteurs des sous-stations dans trois régions — les oblasts d'Ivano-Frankivsk, Tchernivtsi et Kiev. Les opérateurs voyaient sur leurs écrans les disjoncteurs s'ouvrir sous contrôle à distance. Environ 225 000 à 230 000 clients ont perdu l'électricité.

Les attaquants ne se sont pas arrêtés à la coupure. Ils ont ensuite déployé KillDisk pour effacer les postes industriels, détruit les convertisseurs série-Ethernet qui reliaient les équipements série hérités des sous-stations à la trame SCADA moderne, désactivé les onduleurs pour maximiser le chaos opérationnel, et lancé une attaque par TDoS (déni de service téléphonique) contre les lignes du service client des oblenergos afin d'empêcher les clients de signaler les coupures et de ralentir la réponse.

L'électricité a été rétablie manuellement en 1 à 6 heures en envoyant physiquement des opérateurs aux sous-stations pour actionner les disjoncteurs à la main. Le rétablissement complet de la fonctionnalité SCADA a pris des mois.

Impact

  • Environ 230 000 clients privés d'électricité pendant 1 à 6 heures.
  • Trois oblenergos régionaux frappés simultanément.
  • KillDisk a détruit les postes opérateur et les passerelles série-Ethernet.
  • Attaques TDoS contre les lignes téléphoniques du service client.
  • Restauration manuelle ; la reprise SCADA a pris des mois.

Pourquoi cela compte

L'attaque ukrainienne de 2015 est le cas fondateur des attaques cyber-physiques publiques contre les infrastructures critiques. Tous les cadres de défense des réseaux ultérieurs — NIST SP 800-82, la série IEC 62443, les révisions NERC CIP — y font référence. Sandworm l'a suivie l'année suivante (décembre 2016) avec Industroyer dans une sous-station de transport à Kiev ; la lignée se prolonge avec NotPetya (2017), Industroyer2 (2022) et l'ensemble plus large des opérations cybernétiques russes contre l'Ukraine lors de l'invasion à grande échelle.

Chronologie

  1. Sandworm obtient l'accès initial aux réseaux informatiques de trois oblenergos ukrainiens via des courriels d'hameçonnage ciblé transportant des pièces jointes Microsoft Office malveillantes infectées par BlackEnergy3.

  2. Les attaquants prennent le contrôle des SCADA chez trois distributeurs régionaux d'électricité et ouvrent à distance les disjoncteurs des sous-stations dans les oblasts d'Ivano-Frankivsk, Tchernivtsi et Kiev. Environ 225 000 à 230 000 clients perdent l'électricité pendant 1 à 6 heures.

  3. Les attaquants déploient KillDisk pour effacer les postes industriels, détruire les convertisseurs série-Ethernet dans les sous-stations, désactiver les onduleurs et inonder les lignes téléphoniques des opérateurs d'appels TDoS pour retarder la réponse à incident.

  4. La CISA publie l'alerte officielle (IR-ALERT-H-16-056-01) confirmant l'attaque contre le réseau ukrainien.

  5. Le SANS et l'Electricity ISAC publient l'analyse post-incident détaillée ; l'opération est publiquement attribuée à Sandworm.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/2015_Ukraine_power_grid_hack
  2. cisa.govhttps://www.cisa.gov/news-events/ics-alerts/ir-alert-h-16-056-01
  3. attack.mitre.orghttps://attack.mitre.org/campaigns/C0028/
  4. nsarchive.gwu.eduhttps://nsarchive.gwu.edu/sites/default/files/documents/3891751/SANS-and-Electricity-Information-Sharing-and.pdf
  5. cloud.google.comhttps://cloud.google.com/blog/topics/threat-intelligence/ukraine-and-sandworm-team

Incidents liés

WiperContenu

Wiper AcidRain contre Viasat KA-SAT

Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.

Victim
Viasat KA-SAT (abonnés en Ukraine et en Europe)
Loss
$100.0M
sabotageRésolu

Attaque contre le réseau électrique ukrainien — Industroyer (2016)

Le groupe Sandworm, lié à la Russie, a déployé Industroyer (CrashOverride), le premier logiciel malveillant conçu spécifiquement pour attaquer les réseaux électriques, contre un poste de transmission de Kyiv, coupant l'électricité d'environ un cinquième de la capitale pendant près d'une heure.

Victim
Ukrenergo (poste de transmission Pivnichna, Kyiv)
WiperRésolu

Attaque par effaceur contre Kyivstar

Le groupe Sandworm, lié à la Russie, a détruit des milliers de serveurs virtuels et de postes de travail chez Kyivstar, le premier opérateur mobile ukrainien, privant de service quelque 24 millions d'abonnés et perturbant les alertes aériennes, la banque et les paiements lors de la plus dommageable cyberattaque contre les télécoms ukrainiens depuis l'invasion de 2022.

Victim
Kyivstar
Loss
$95.0M
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B