Discussion :

[Victor Vincent]

Les attaques contre le réseau électrique ukrainien attribuées à Windows
par un responsable de la sécurité des systèmes d’information

Le système électrique ukrainien a été la cible d’attaques par le cheval de Troie BlackEnergy en décembre dernier. Quelques mois après ces incidents, les causes de l’attaque ont été étudiées de long en large pour essayer de déterminer les points faibles du réseau qui ont fait que les attaquants ont réussi leur coup. L’étude a révélé que le premier facteur de vulnérabilité du réseau électrique de l’ancienne république soviétique a d’abord été le facteur humain. Les techniques d’hameçonnage et d’ingénierie sociale ont été utilisés par les attaquants pour s’introduire dans le système informatique qui pilote le réseau électrique.

Cependant, il y a un autre facteur qui peut expliquer la vulnérabilité du système informatique contrôlant le réseau électrique en Ukraine, le système d’exploitation Windows. En effet, selon le responsable de la sécurité des systèmes d’information de SentinelOne, Ehud Shamir, le fait que le système informatique du réseau électrique tourne sur des machines Windows, cela le rend vulnérable à des attaques comme celui de BlackEnergy. Shmir déclare à cet effet qu’« il est important de noter que, lorsque l’on parle d’internet des objets ou de systèmes de contrôle industriels, il s’agit de systèmes qui tournent sur des ordinateurs Windows ». Il ajoute aussi que le caractère unique de BlackEnergy qui est sa modularité fait que l’attaquant peut modifier de manière assez rapide le comportement du logiciel malveillant. Pour lui, le virus a surement été introduit par le biais d’un fichier Excel infecté qui aurait été envoyé à une personne non avertie par courriel.

Une fois que les attaquants ont réussi à s’infiltrer dans le système, le reste de leur coup leur a été facilité par le fait que le système informatique du réseau électrique soit relié à d’autres systèmes. Il n’avait alors qu’à contrôler tout le réseau électrique en utilisant ces systèmes tiers. D’après Shamie, « quand les attaquants ont eu accès au réseau, ils ont constaté que l’opérateur avait un peu bâclé l’interconnexion de certaines interfaces du système de contrôle industriel avec le réseau local ». La modularité de BlackEnergy a permis aux attaquants de pouvoir faire des écoutes sur le réseau de sorte à dérober les informations d’identification d’un utilisateur du système. Ces informations d’identification ont ensuite servi pour accéder au système de contrôle industriel et compromettre l’approvisionnement en électricité.

Source : SentinelOne

Et vous ?

Que vous inspirent les conclusions de Shamir ?

Voir aussi

la rubrique Actualités

[Zirak]

Donc c'est la faute à Microsoft, si un gus a ouvert un fichier Excel vérolé ?

[Watilin]

Non, plutôt la faute à ceux qui ont choisi Windows pour équiper un réseau dont la sécurité est importante.

[Zirak]

Non, plutôt la faute à ceux qui ont choisi Windows pour équiper un réseau dont la sécurité est importante.

Peu importe le système installé, et peu importe si la sécurité est importante, dans le cas présent, le problème se situe entre la chaise et le clavier.

Si le mec n'avait pas ouvert le fichier vérolé, il n'y aurait pas eu de problème et vous n'auriez jamais su que la centrale tournait sous Windows...


C'est comme si tu partais de chez toi en laissant la porte ouverte et l'alarme éteinte, et qu'après tu ailles te plaindre à la boite qui t'a vendu l'alarme en disant que c'est de sa faute si tu t'es fait cambrioler.

Qu'on cherche un responsable au problème ok, qu'on impute le problème à une autre boite pour se dédouaner de sa propre bourde, bof ^^

[dlandelle]

@psychadelic : Vivement l'arrivée en masse des compteurs Linky, avec ça les intégristes de tout poils pourront mettre la France à genoux sans se fouller le petit doigt !

Si le réseau tombe par le truchement de ce miraculeux Linky (imposé par nos députés à nos maires en Décembre dernier) cela peut même déclencher une catastrophe nucléaire.

Sachant qu'il faut 10% de la puissance de production pour maintenir le réacteur en condition de sûreté, si le réseau tombe on pourrait bien avoir quelques Fukushima sur notre territoire (on a 50 tranches, constituant plus de 80% de la puissance globale, les 20% restant étant ... aléatoires grâce au pari juteux sur les ENR, elles aussi promues par nos députés, dont de nombreux sont propriétaires de concessions éoliennes).

[Watilin]

Sachant qu'il faut 10% de la puissance de production pour maintenir le réacteur en condition de sûreté

Pas que je remette en doute, mais j'aimerais bien avoir tes sources sur ce point.

[dvilink]

Euh, l'Ukraine c'est bien ce pays dans lequel une bonne partie de l'énergie électrique produite provient de centrales nucléaires.

[Saiya]

10 ans de tole dans une cage ukrainienne sa fera du bien a certains.

[domi65]

On dirait bien une réponse de la Crimée (donc de la Russie) à la coupure d’électricité par sabotage des pylônes qu'ils ont subie au mois de novembre. Un avertissement, en quelque sorte, qu'il faudrait arrêter de jouer avec le feu.

[Stéphane le calme]

Des pirates provoquent une nouvelle panne d'électricité en Ukraine,
la campagne d'attaques a ciblé d'autres infrastructures sensibles

Pour la seconde fois en deux ans, des chercheurs en sécurité ont déterminé que des pirates informatiques ont causé une panne de courant en Ukraine qui a laissé les clients sans électricité en fin décembre, généralement l'un des mois les plus froids dans ce pays. L’attaque de décembre 2015, qui a fait perdre l’électricité à plus de 225 000 Ukrainiens, a été la première instance connue mettant sur scène quelqu’un qui se sert de logiciels malveillants pour générer une panne de courant dans le monde réel.

Un an plus tard, rebelote : une panne d’électricité dans la capitale. Pour l’entreprise de cybersécurité Information Systems Security Partners (ISSP), qui a analysé la situation pour le compte de la société nationale d'énergie Ukrenergo, il ne fait aucun doute qu’il s’agit d’une cyberattaque : « les attaques en 2016 et 2015 n'étaient pas très différentes en dehors du fait que les attaques de 2016 sont devenues plus complexes et beaucoup mieux organisées », a assuré Oleksii Yasnskiy, responsable des laboratoires de l'ISSP.

Mais l’entreprise va plus loin et pense également que cette attaque pourrait être liée à une série d'autres attaques qui ont frappé d'autres cibles ukrainiennes de grande valeur dans les secteurs commerciaux et gouvernementaux comme le système ferroviaire national, plusieurs ministères et un fonds de pension national. Les attaques ont commencé le 6 décembre et ont duré jusqu'au 20 décembre. Les sites du ministère des finances et du trésor public ont été bloqués pendant deux jours, d’après un média local. Ce dernier a également rapporté que les attaquants ont endommagé des équipements et détruit des bases de données essentielles au Trésor et à la Caisse de retraite. En conséquence, des paiements de centaines de millions d’Hryvania ukrainienne (la devise nationale) ont été bloqués. La panne de courant du 17 décembre était le résultat d'une attaque au poste de Pivnichna à l'extérieur de Kiev qui a commencé peu avant minuit. Elle a duré environ une heure.

Pour Yasnskiy, différents groupes criminels y ont travaillé ensemble et cette série d’attaques semble être une phase de test de techniques qui pourraient être utilisées ailleurs dans le monde pour le sabotage d’infrastructures. Ils ont collaboré entre autres pour rassembler des mots de passe pour des serveurs et postes de travail ciblés, puis créé des logiciels malveillants adaptés à leurs cibles.

Yasynskyi a présenté quelques-unes des conclusions de l'enquête à la conférence S4 en Floride, avec Marina Krotofil, un chercheur ukrainien pour le compte d’Honeywell Industrial Cyber ​​Security Lab qui a assisté avec une partie de l'enquête. Il a affirmé que que les attaquants se sont resservis de plusieurs outils, parmi lesquels le framework BlackEnergy et le logiciel malveillant d’effacement de disque baptisé KillDisk. Les brèches proviennent d'une campagne de phishing massive qui a visé les organisations gouvernementales en juillet et a permis aux attaquants d’être infiltrés pendant des mois avant de lancer les hostilités en décembre dernier. Mais l'enquête ne pourra être complète que plus tard cette année. « La quantité de logs est gigantesque. Il faudra des mois pour étudier », a expliqué Krotofil.

Dans l'attaque de 2015, les pirates ont mené une attaque coordonnée contre trois sociétés de distribution d'électricité, qui ont laissé des clients sans électricité pendant trois à six heures. Les pirates ont écrasé le microprogramme sur les unités de terminaux distants, ou RTU, qui contrôlaient les disjoncteurs de sous-stations. Cela a essentiellement empêché les ingénieurs de restaurer la puissance à distance. Les techniciens devaient se rendre dans les sous-stations pour rétablir le courant. Les pirates ont également utilisé le logiciel malveillant KillDisk, qui a écrasé les fichiers système critiques sur les machines opérateur, les faisant alors devenir inutilisables.

Cette fois-ci, les hackers ont simplement fermé les RTU, ce qui rend plus facile à restaurer la puissance une fois que les RTU ont été réengagés. IIs ne se sont plus attaqués aux machines opérateur. Raison pour laquelle Krotofil a estimé que « l'attaque n’avait pas pour but d’avoir des conséquences dramatiques ». Et de continuer en disant « qu’ils pouvaient faire beaucoup plus de choses, mais il apparaît qu’il n’en avaient pas l’intention. C'était plutôt une démonstration de capacités »

Les chercheurs ont assuré que les attaques montrent que l'Ukraine « est devenue une aire de jeux pour la recherche et le développement de nouvelles techniques d'attaque », des attaques qui seront probablement utilisées ailleurs une fois que les pirates les auront affiné.

« L'Ukraine utilise l'équipement et les protections de sécurité des mêmes fournisseurs que les autres pays dans le monde », a rappelé Krotofil. « Si les attaquants apprennent comment contourner ces outils et appareils dans les infrastructures ukrainiennes, ils pourront alors directement se rendre à l'Ouest ».

Source : BBC, Dark Reading

[domi65]

Des pirates provoquent une nouvelle panne d'électricité en Ukraine

C'est pratique. Maintenant, si d'aventure il y a quelque panne que ce soit dans n'importe quelle partie du monde, la cause sera connue : une attaque de Poutine.

[Grogro]

C'est pratique. Maintenant, si d'aventure il y a quelque panne que ce soit dans n'importe quelle partie du monde, la cause sera connue : une attaque de Poutine.

Après tout, dans virus il y a "russe". C'est une signature suffisante pour nos amis les jacassants, non ?

[Tagashy]

KillDisk n'est pas un logiciel malveillant.
Il s’agit d'un logiciel d'effacement de disque totalement légal son but premier est d'effacer les disque dur certes mais l'utilisation de ce logiciel est majoritairement pour ne pas avoir de trace sur le disque de ce qui y as été écris, il est majoritairement utiliser par les entreprise qui donnent leur ancien pc aux association de charité et aux écoles mais qui ne veulent pas que ces pc puissent être utiliser pour retrouver leur donnée confidentiel (merci captain obvious).

Et pour information on l'utilisais quand j’étais en BTS pour formater les machines de façon a ce que chaque étudiants ais une machine propre et personnel pour les cours ...

pour information voilà le site officiel de killdisk http://www.killdisk.com effectivement c'est un site de H4X0r trop dark qui veulent faire des DDOS ........

[Felykanku]

On dirait alors que l'Ukraine et la Russie sont actuellement forts en cyberattaque???