Dans la soirée du 23 décembre dernier, plusieurs villes en Ukraine ont été plongées dans le noir pendant près de 6 heures. La coupure d'électricité, qui a touché une large partie de la région autour d'Ivano-Frankivsk située à l'ouest du pays, pourrait être liée à une cyberattaque.
Le cas échéant, cette cyberattaque ayant frappé le fournisseur local d'électricité Prykarpattyaoblenergo serait l'un des rares cas connus où des " hackers " ont mis à terre une infrastructure critique. D'après ESET, il ne s'agirait pas d'un cas isolé. D'autres compagnies d'énergie en Ukraine ont été la cible de cybercriminels dans le même laps de temps.
Les indices mènent vers la présence d'un nuisible qui a été retrouvé dans les systèmes informatiques de plusieurs compagnies d'électricité. Il fait partie de la famille de backdoor BlackEnergy (cheval de Troie) et a été utilisé pour implanter une charge utile pour Windows (32 bits) baptisée KillDisk.
Le scénario d'infection - par BlackEnergy - le plus probable est l'ouverture de fichiers Microsoft Office contenant des macros malveillantes et véhiculés en pièces jointes d'emails. KillDisk est ensuite capable de supprimer des fichiers système (les systèmes infectés ne peuvent alors plus redémarrer), et une variante contiendrait des fonctionnalités supplémentaires spécifiquement dédiées au sabotage industriel.
Pour ESET, KillDisk n'est cependant pas obligatoirement le coupable. S'il paraît capable d'éteindre des systèmes critiques, sa présence pourrait aussi servir à masquer des traces et rendre les investigations plus difficiles. Reste alors BlackEnergy qui peut fournir un accès distant à des attaquants.
BlackEnergy est un nom qui est apparu à plusieurs reprises dans le passé. Ce malware a été utilisé dans des attaques de cyberespionnage remontant à jusqu'à 2007. Il a évolué depuis. En 2014, un code l'a doté d'outils pour cibler des systèmes de contrôle industriel dans des secteurs comme l'énergie et avec des vulnérabilités connues.
Un premier lien entre BlackEnergy et KillDisk avait été évoqué fin 2015 lors d'élections locales en Ukraine. Une attaque avait impacté plusieurs médias et détruit des vidéos et divers documents. Des soupçons se tournent du côté de la Russie.
