Skip to content
Cyber Breaches
Recherche
sabotageRésolu

Attaque contre le réseau électrique ukrainien — Industroyer (2016)

Le groupe Sandworm, lié à la Russie, a déployé Industroyer (CrashOverride), le premier logiciel malveillant conçu spécifiquement pour attaquer les réseaux électriques, contre un poste de transmission de Kyiv, coupant l'électricité d'environ un cinquième de la capitale pendant près d'une heure.

Victime
Ukrenergo (poste de transmission Pivnichna, Kyiv)
SecteurÉnergiecritical-infrastructure
PaysUkraine
GroupeSandworm
Attaquants nommésUnité 74455 du GRU russe (Sandworm / ELECTRUM)
CVECVE-2015-5374

Juste avant minuit, le 17 décembre 2016, un unique poste de transmission au nord de Kyiv s'est éteint, coupant l'électricité d'environ un cinquième de la capitale ukrainienne pendant près d'une heure. La panne fut brève, mais le logiciel malveillant à son origine — Industroyer, également appelé CrashOverride — s'est révélé être le premier logiciel malveillant jamais conçu spécifiquement pour attaquer les réseaux électriques.

Ce qui s'est passé

La cible était le poste de transmission Pivnichna (« Nord ») d'Ukrenergo. Contrairement à l'attaque de 2015, où les opérateurs de Sandworm avaient manuellement actionné des consoles d'opérateur détournées, l'incident de 2016 a été piloté par un logiciel malveillant automatisé et spécialement conçu. Industroyer était capable de dialoguer directement avec les protocoles industriels des équipements du réseau — IEC 60870-5-101 et 104, IEC 61850 et OPC Data Access —, lui permettant d'émettre des commandes d'ouverture de disjoncteurs sans avoir à comprendre le logiciel propre à chaque exploitant.

Industroyer était un cadriciel modulaire : une porte dérobée principale, un lanceur, quatre modules de charge utile spécifiques aux protocoles, un composant d'effacement de données pour effacer la configuration et rendre les systèmes non amorçables, et un module de déni de service exploitant CVE-2015-5374 dans les relais de protection Siemens SIPROTEC afin de les maintenir hors ligne pendant l'attaque. La conception laissait penser qu'il pouvait être reciblé sur d'autres réseaux moyennant une reconfiguration modeste.

Impact

  • Environ 20 % de Kyiv a perdu l'électricité pendant une heure environ.
  • La panne en elle-même fut courte, mais les analystes ont estimé que l'opération pouvait être un test ou une démonstration de faisabilité pour une arme réutilisable de sabotage de réseau.
  • Les composants d'effacement et de déni de service SIPROTEC étaient conçus pour compliquer et retarder la reprise, préfigurant des attaques futures plus dommageables.

Attribution

Les chercheurs d'ESET et de Dragos (qui suivait l'acteur sous le nom d'ELECTRUM) ont relié l'opération à Sandworm, l'unité 74455 du GRU russe — le même groupe à l'origine de l'attaque du réseau de 2015 et plus tard de NotPetya. La réutilisation d'infrastructures et de techniques entre les opérations de 2015 et 2016 a renforcé l'attribution au renseignement militaire russe.

Pourquoi c'est important

Là où 2015 a montré que des humains pouvaient détourner un réseau, 2016 a montré qu'un logiciel malveillant pouvait le faire de manière autonome et à grande échelle. La conception d'Industroyer, native des protocoles, le rendait potentiellement transposable aux réseaux d'Europe et d'Amérique du Nord, puisque les normes IEC et OPC visées sont utilisées dans le monde entier. Il a redéfini le modèle de menace pour les défenseurs des technologies opérationnelles et est devenu l'ancêtre direct d'Industroyer2, que Sandworm a déployé contre un fournisseur d'énergie ukrainien en avril 2022 pendant l'invasion à grande échelle — une attaque que les intervenants ukrainiens et d'ESET ont déjouée de justesse.

Chronologie

  1. Vers 23h53 heure locale, Industroyer ouvre les disjoncteurs du poste de transmission Pivnichna d'Ukrenergo, au nord de Kyiv.

  2. Environ un cinquième de Kyiv perd l'électricité ; la logique temporisée du logiciel malveillant et son module d'effacement tentent d'entraver la reprise.

  3. L'alimentation est rétablie en une heure environ, les opérateurs revenant au contrôle manuel.

  4. ESET et Dragos publient des analyses nommant le logiciel malveillant Industroyer / CrashOverride, le premier conçu spécifiquement pour perturber les réseaux électriques.

  5. Les chercheurs révèlent les charges utiles protocolaires modulaires d'Industroyer (IEC 60870-5-101/104, IEC 61850, OPC DA) et un module de déni de service SIPROTEC exploitant CVE-2015-5374.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Industroyer
  2. attack.mitre.orghttps://attack.mitre.org/campaigns/C0025/
  3. welivesecurity.comhttps://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/
  4. securityweek.comhttps://www.securityweek.com/industroyer-ics-malware-linked-ukraine-power-grid-attack/
  5. darkreading.comhttps://www.darkreading.com/threat-intelligence/first-malware-designed-solely-for-electric-grids-caused-2016-ukraine-outage

Incidents liés

WiperRésolu

Attaque par effaceur contre Kyivstar

Le groupe Sandworm, lié à la Russie, a détruit des milliers de serveurs virtuels et de postes de travail chez Kyivstar, le premier opérateur mobile ukrainien, privant de service quelque 24 millions d'abonnés et perturbant les alertes aériennes, la banque et les paiements lors de la plus dommageable cyberattaque contre les télécoms ukrainiens depuis l'invasion de 2022.

Victim
Kyivstar
Loss
$95.0M
WiperContenu

Wiper AcidRain contre Viasat KA-SAT

Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.

Victim
Viasat KA-SAT (abonnés en Ukraine et en Europe)
Loss
$100.0M
EspionnageContenu

Attaque contre le réseau électrique ukrainien — Sandworm BlackEnergy (2015)

Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.

Victim
Distributeurs régionaux d'électricité ukrainiens (oblenergos)
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B