L'attaque du réseau électrique ukrainien entre dans l'histoire

L'attaque du réseau électrique ukrainien entre dans l'histoire

[ad_1]

Note de la rédaction: octobre marque le mois européen de sensibilisation à la cybersécurité, un mois consacré à rendre le monde cybernétique plus sûr pour tous. Nous avons déjà donné 31 conseils pour être mieux informé. Cette année, pour mettre en lumière ce sujet crucial, nous avons décidé de présenter quatre incidents de cybersécurité de grande ampleur qui auraient pu être évités avec une plus grande vigilance et une meilleure stratégie de protection. Rejoignez-nous chaque semaine en octobre pour en savoir plus sur l'une de ces cyberattaques de haut niveau, et continuez à nous suivre pour rester informé et éviter d'ajouter votre nom à la liste des accidents.

La cybervictime

] Fournisseur d'électricité régional d'Ukraine Kyivoblenergo.

Conclusion

Kyivoblenergo, le fournisseur d'électricité régional d'Ukraine, est devenu célèbre pour des raisons peu claires. C'est le premier fournisseur d'électricité au monde à être victime d'une cyberattaque.

Tout a commencé le 23 décembre 2015, lorsque le centre de contrôle de Prykarpattyaoblenergo a été victime d'une cyberattaque. Attaque les systèmes informatiques et les systèmes d'acquisition et de contrôle de données en temps réel connus sous le nom de "systèmes SCADA" ( contrôle de surveillance et acquisition de données ), provoquant une déconnexion de 30 cents. -stations pendant trois heures. Ensuite, sans électricité, il y a près de 230 000 utilisateurs, soit près de la moitié des ménages de la région d'Ivano-Frankivsk en Ukraine (qui compte environ 1,4 million d'habitants). Arme de la cybercriminalité: logiciel malveillant appelé BlackEnergy.

Les responsables du gouvernement ukrainien mentionnent rapidement qu'une cyberattaque est la cause d'une panne de courant, pointant du doigt les services de sécurité russes.

Histoire des cyberattaques

Cette intervention contre la cybercriminalité est la première de Kyivoblenergo Electricity Distribution Company

Raconte l'histoire de

L'attaque de la centrale électrique a eu lieu dans l'après-midi. Lors du transfert de documents sur son bureau, un employé remarque un phénomène très étrange à l'écran: le curseur de son ordinateur se met à bouger de lui-même, comme par magie.

Un employé constate qu'il est peut-être sans voix et le curseur se déplace vers les commandes de commutation automatique de la sous-station et clique sur la boîte pour ouvrir les commutateurs automatiques. La sous-station est alors déconnectée et 225 000 personnes sont plongées dans l'obscurité.

Un employé met tout en œuvre pour reprendre le contrôle d'un ordinateur. Mais il est trop tard: il est déjà déconnecté.

Le site de Wired a reçu une déclaration d'attaque. La vidéo peut être visionnée ici. L'OTAN a également créé cette courte vidéo décrivant l'événement:

Il semblait que les pirates seraient heureux de cet exploit, mais non. Ils prévoyaient de se mettre en grève et d'attaquer deux autres centrales électriques, doublant presque le nombre de sous-stations déconnectées. Les cybercriminels ont également coupé l'alimentation de secours dans deux des trois centres de distribution. Même les opérateurs de réseaux électriques ont été privés d'électricité.

Structures et pièces affectées

Entre 200 000 et 230 000 citoyens ukrainiens

Mode d'entrée

De retour avant le jour de l'attaque, la chronologie des opérations a débuté au printemps 2015, notamment avec une campagne de spear phishing. Cette campagne d'hameçonnage ciblée visait certains membres des équipes informatiques et d'administration des systèmes qui travaillaient pour diverses sociétés de distribution d'électricité à travers l'Ukraine. À la suite de la campagne, des courriers électroniques malveillants ont été distribués aux employés de trois entreprises. Lorsque vous avez cliqué sur la pièce jointe, une fenêtre contextuelle est apparue demandant au destinataire de l'e-mail d'activer la macro de document. L'activation des macros permettait à BlackEnergy3 d'infecter les machines destinataires et d'ouvrir le backend aux pirates.

Les assaillants, qui n'ont pas été découragés par leur première tentative infructueuse, ont continué leur progression. Pendant des mois, ils ont mené des opérations de renseignement approfondies et ont accédé aux contrôleurs de domaine Windows, où l'accès au réseau était géré via des comptes d'utilisateurs. Ils ont récupéré les informations de connexion des employés, y compris certains identifiants VPN, utilisés par les employés du réseau pour se connecter à distance au réseau SCADA. Cependant, l'introduction de hackers dans les réseaux SCADA n'était pas la fin du jeu. Tout ce qu'ils avaient à faire était de se préparer tranquillement au résultat de l'opération.

23. Décembre vers 15h30, les assaillants ont donc commencé à ouvrir les disjoncteurs. Ensuite, le personnel du centre de contrôle de Prykarpattyaoblenergo s'est rendu compte que l'individu avait pris le contrôle du système de l'extérieur.  Séquence des événements de l'attaque de Kyivoblenergo en Ukraine à partir de 2015. Png

Les assaillants avaient soigneusement préparé leur coup d'État, ne laissant rien au hasard, jusqu'à lancer une attaque par déni de service contre les centres d'appels des clients pour les empêcher de signaler la coupure par téléphone.

Dans cet article filaire de 2016, un expert en cybersécurité de Dragos Security a qualifié le hacker de "exceptionnel" et "cette sophistication … l'attaque peut être classée comme complexe en termes de logistique, de planification et de mise en œuvre … et en fonction des actions entreprises tout au long de l'attaque. Pour lui, "les pirates volants travaillent ensemble sur des scénarios, bien qu'il soit peu probable qu'ils couvrent tous les aspects qui pourraient mal tourner."

Selon Kaspersky, le BlackEnergy, un cheval de Troie utilisé dans une attaque contre l'Ukraine – avait commencé à circuler en 2014. Il a été déployé spécifiquement pour les attaques DDoS, le cyberespionnage et les opérations de sécurité, la destruction d'informations, en particulier contre les entreprises du secteur de l'énergie et les entreprises utilisant des systèmes SCADA.

The Diagnosis

The attack on Ukraine le réseau électrique est toujours l'une des pires invasions …

Comme mentionné ci-dessus, peu de temps après l'attaque contre U le gouvernement krain a impliqué la Russie presque immédiatement. Mais jusqu'à très récemment, personne n'a été officiellement inculpé.

2020. Le 15 octobre 2006 à Pittsburgh (États-Unis), un grand jury fédéral a inculpé six hackers, tous résidents et ressortissants de la Fédération de Russie (Russie), et des officiers de la division 74455 de la Direction. principal renseignement russe (GRU). Cette agence de renseignement militaire de l'état-major général des forces armées est également connue sous le nom de "Sandworm".

Le même groupe pourrait également être responsable d'une autre attaque à grande échelle sur NotPetya, qui a causé près d'un milliard de dollars de dégâts.

De plus, Sandworm pourrait être à l'origine d'une série de cyber-attaques visant à influencer les Jeux olympiques d'été de 2020 à Tokyo, qui ont été reportés à l'année prochaine. Le gouvernement britannique craint que les Jeux olympiques de 2021 ne soient ciblés.

Espérons que ce n'est pas le cas.

D'ici là, si vous ne voulez pas subir le même sort que cette centrale ukrainienne, nous vous invitons à consulter certaines de nos ressources gratuites spécialement destinées aux fournisseurs d'énergie:

[ad_2]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *