Les experts de l'industrie disent depuis des années que les pirates informatiques pourraient cibler l'infrastructure critique, y compris le transport, le contrôle industriel et les systèmes électriques. Mais avec une attaque récente sur un réseau électrique ukrainien, un groupe de hackers russes nous a fait passer du domaine du "pouvoir" au "pouvoir". Voici tout ce que vous devez savoir sur l'attaque.
Qu'est-il arrivé en Ukraine?
Le 23 décembre, des pannes d'électricité ont eu lieu dans la région ukrainienne d'Ivano-Frankivsk, laissant près de la moitié des 1, 4 million de personnes sans électricité de la région. Les détails de l'attaque sont toujours en cours d'élaboration, mais il semble qu'un groupe de pirates informatiques russes a lancé une attaque coordonnée en plusieurs parties sur un certain nombre de centres régionaux de distribution d'électricité dans la région.
En plus d'attaquer directement les centres de distribution, les attaquants ont également ciblé les systèmes téléphoniques, empêchant les clients de signaler les pannes d'électricité, et ont utilisé des mesures pour rendre plus difficile la découverte de la panne par les techniciens.
Selon ESET, les pirates informatiques ont utilisé un logiciel malveillant Virus, Spyware, Malware, etc. Explication: Comprendre les menaces en ligne Virus, Spyware, Malware, etc. Expliqué: Comprendre les menaces en ligne Quand vous commencez à penser à toutes les choses qui pourraient mal tourner Lorsque vous naviguez sur Internet, le Web commence à ressembler à un endroit plutôt effrayant. Lire la suite appelé BlackEnergy pour infecter les ordinateurs dans le réseau électrique, et un autre outil appelé KillDisk pour les désactiver. KillDisk est très destructeur: il peut essuyer les parties d'un disque dur infecté 5 Outils pour supprimer définitivement les données sensibles de votre disque dur [Windows] 5 Outils pour supprimer définitivement les données sensibles de votre disque dur [Windows] Dans un article récent, j'ai expliqué pourquoi est impossible de récupérer des données à partir d'un disque dur après l'avoir écrasé. Dans cet article, j'ai mentionné que la simple suppression de fichiers ou le formatage de votre disque dur généralement ... Lisez plus, remplacez-les, et il est beaucoup plus difficile de restaurer les données. Cette version de KillDisk a également été personnalisée pour cibler spécifiquement les systèmes industriels.
Une porte dérobée SSH est également incluse dans l'attaque. Qu'est-ce que SSH et comment ça diffère de FTP [Technologie expliquée] Qu'est-ce que SSH et comment c'est différent du FTP [Technologie expliquée] En savoir plus, permettant aux hackers d'accéder aux systèmes infectés. Que le malware lui-même soit responsable de la fermeture de la grille ou que les pirates aient utilisé cette porte dérobée pour accéder aux contrôles n'est pas immédiatement clair. Cela pourrait potentiellement être une distinction importante, car le malware utilisé dans l'attaque pourrait être la cause de l'arrêt ou simplement le facilitateur.
BlackEnergy a été utilisé dans un certain nombre d'attaques contre des cibles ukrainiennes au cours de l'année écoulée, y compris une attaque contre des entreprises médiatiques ukrainiennes à l'approche des élections ukrainiennes. La Russie et l'Ukraine sont engagées dans une cyber guerre en cours, les deux parties se livrant à de nombreuses attaques, allant du cyber espionnage et du contrôle des caméras de vidéosurveillance aux attaques DDoS. Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Le terme DDoS siffle quand le cyber-activisme se dresse en masse. Ces types d'attaques font les manchettes internationales pour de multiples raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement ... Lire la suite et le gel des fonds dans les comptes PayPal.
Comment les compagnies d'électricité ont-elles été infectées?
ESET signale que le logiciel malveillant a été distribué via des macros infectées dans des documents Microsoft Office Comment se protéger des logiciels malveillants Microsoft Word Comment se protéger des logiciels malveillants Microsoft Word Saviez-vous que votre ordinateur peut être infecté par des documents Microsoft Office malveillants? dupé en activant les paramètres dont ils ont besoin pour infecter votre ordinateur? Lire la suite, une méthode qui retrouve une certaine popularité. Les employés des compagnies d'électricité ont été envoyés des courriels qui semblaient provenir du parlement ukrainien - une pratique appelée spear-phishing Comment repérer une pièce jointe d'un email dangereux Comment repérer une pièce jointe d'email dangereuse Les courriels peuvent être dangereux. La lecture du contenu d'un e-mail doit être sûre si vous disposez des derniers correctifs de sécurité, mais que les pièces jointes peuvent être dangereuses. Recherchez les signes avant-coureurs communs. En savoir plus - et les documents joints à ces e-mails encourageaient les utilisateurs à exécuter les macros, infectant ainsi leurs ordinateurs.
Le malware utilisé dans l'attaque a été trouvé dans les ordinateurs de plusieurs compagnies d'électricité plus tôt dans l'année, indiquant que ce piratage était probablement planifié longtemps à l'avance, une idée corroborée par la complexité de l'attaque sur plusieurs systèmes. Il est possible que l'intention originale était d'occulter le pays entier.
L'attaque rappelle celle qui a été utilisée contre les fonctionnaires de l'OTAN et de l'Ukraine en 2014; celui-ci a profité d'un exploit zero-day Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explique] Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explains] Lire la suite dans Microsoft Windows. Le groupe a utilisé cet exploit pour espionner les responsables de l'OTAN et de l'Ukraine, et la découverte du piratage était la première fois que Sandworm faisait la nouvelle.
Qui - ou Quoi - Sandworm?
Sandworm est le nom du groupe de piratage 4 Les meilleurs groupes de hackers et ce qu'ils veulent 4 Les meilleurs groupes de hackers et ce qu'ils veulent Il est facile de penser à des groupes de hackers comme des révolutionnaires romantiques. Mais qui sont-ils vraiment? Que représentent-ils et quelles attaques ont-ils menées dans le passé? Lire plus largement pensé pour être derrière cette attaque. Le malware BlackEnergy est fortement lié à ce groupe, qui cache des références au roman de science-fiction classique de Frank Herbert Dune dans leur code (Sandworm est une référence à une créature dans le roman, vu ci-dessous sur la couverture de Heretics of Dune ).
Parce que leurs cibles ont été en grande partie des opposants à la Russie, il y a eu des spéculations sur le fait qu'ils pourraient avoir le soutien du gouvernement russe, ce qui rend ces attaques encore plus graves. Bien sûr, attribuer la responsabilité de ces attaques est très compliqué; pour l'instant, nous ne sommes pas totalement sûrs que Sandworm est derrière les attaques, et encore moins le Kremlin.
Cependant, les liens potentiels avec le gouvernement russe rendent cette question inquiétante. C'est probablement la première attaque réussie sur un réseau électrique, ce qui signifie que la Russie fait avancer ses capacités de guerre électronique. Les Etats-Unis et Israël ont montré des capacités similaires avec le ver Stuxnet Ces Techniques Cyber-Espionnage NSA pourraient-elles être utilisées contre vous? Ces techniques de cyber-espionnage NSA pourraient-elles être utilisées contre vous? Si la NSA peut vous suivre - et nous savons qu'elle peut le faire - les cybercriminels le peuvent aussi. Voici comment les outils fabriqués par le gouvernement seront utilisés contre vous plus tard. Lire la suite qui a détruit les centrifugeuses nucléaires en Iran, mais ciblant spécifiquement un réseau électrique avec cette attaque complexe à plusieurs phases est une histoire différente.
Les États-Unis sont-ils à risque?
Les relations historiques entre les Etats-Unis et la Russie font que beaucoup de gens se demandent si les Etats-Unis sont prêts pour ce genre d'attaque, et la réponse générale de "non" est inquiétante. Bien sûr, avec certains des meilleurs experts en cybersécurité dans le monde qui travaillent pour la NSA, nous avons certains des meilleurs moyens de défense, mais il reste que c'est une attaque sans précédent.
En plus de la maîtrise évidente de la cyberguerre par la Russie, le fait qu'une grande partie de notre infrastructure critique soit obsolète, surtout en matière de cybersécurité, est également très préoccupant. En 2014, Daniel Ross, PDG de la société de logiciels de sécurité Promisec, a déclaré à Forbes que les systèmes d'infrastructure critiques sont menacés car «la plupart d'entre eux utilisent une version très ancienne ou potentiellement non corrigée de Windows, car ils ne sont pas souvent retirés. "
Le Government Accountability Office des États-Unis a également fait des déclarations similaires, avec cyber infrastructure critique et les systèmes d'information fédéraux faisant sa liste «à haut risque» en 2015. Bref, oui, les États-Unis sont probablement à risque.
Sans cyberattaque dévastatrice, il semble improbable que les législateurs soient prêts à consacrer l'énorme somme d'argent nécessaire pour défendre correctement les infrastructures critiques et les systèmes d'information fédéraux des États-Unis contre les attaques à grande échelle comme celle perpétrée en Ukraine. Nous ne pouvons qu'espérer que cet événement serve d'exemple aux responsables de la cyberdéfense et les incite à prendre des mesures plus énergiques en matière de sécurité des infrastructures critiques.
Les plats à emporter
La cyber-guerre progresse rapidement et la capacité de cibler spécifiquement des éléments de l'infrastructure critique grâce à une attaque multiphase hautement planifiée a été clairement démontrée. Nous ne savons pas avec certitude si la Russie était derrière, mais on dirait qu'un gang de piratage russe, peut-être avec le soutien du gouvernement russe, a été à l'origine de l'attaque. Et les Etats-Unis ne sont pas prêts à se défendre contre une telle attaque.
Qu'est-ce qui vient après les réseaux électriques? Attaques contre des bâtiments ou des installations spécifiques? Des bases militaires, peut-être? Hôpitaux? Les entrepreneurs de la défense? Malheureusement, les possibilités semblent presque illimitées, et tout ce que nous pouvons faire, c'est attendre et voir. La façon dont la Russie, l'Ukraine et les États-Unis vont de l'avant pourrait très bien avoir des effets importants sur la cyberguerre mondiale.
Est-ce que cette attaque sur le réseau électrique ukrainien vous rend nerveux? Pensez-vous que votre pays est suffisamment préoccupé par la cybersécurité? Ou pensez-vous que ce sera un appel de réveil autour du monde? Partagez vos pensées ci-dessous!
Crédits image: TUBS via Wikimedia Commons (édité), Menna via Shutterstock.com, Kodda via Shutterstock.com, .