Une cyberattaque russe a déconnecté une centrale électrique en Ukraine
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
L’opération a eu lieu le même jour qu’une série de bombardements sur des infrastructures énergétiques ukrainiennes.
La société de cybersécurité Mandiant a révélé, le 9 novembre 2023, que la Russie avait mené une cyberattaque victorieuse contre une centrale électrique ukrainienne, le 10 octobre 2022. Le même jour, l’armée russe a bombardé massivement (84 roquettes et 24 drones) des villes ukrainiennes, ciblant des infrastructures énergétiques.
En juin 2023, Sandworm, un groupe cybercriminel affilié au GRU (le service de renseignement militaire russe), avait infecté les SI d’une centrale électrique d’une des villes bombardées. Il avait pour cela utilisé une attaque « Living of the Land » (LotL), qui utilise les applications et protocoles légitimes d’un appareil pour obtenir un accès frauduleux.
Le jour du bombardement, Sandworm est passé à l’action, et a détourné le logiciel MicroSCADA de la centrale, provoquant son arrêt immédiat. Deux jours plus tard, les cybercriminels ont déployé une nouvelle version de leur malware destructeur de données CaddyWiper sur les systèmes IT de la centrale, sans viser cette fois l’OT. Selon Mandiant, Sandworm essayait peut-être ainsi de perturber le travail de remédiation des salariés, ou d’effacer les traces de son attaque.
Ce cyber-incident inquiète les chercheurs car il pourrait facilement être répliqué en Ukraine ou ailleurs. « Nous allons devoir nous poser des questions difficiles sur notre capacité à nous défendre contre ce genre d’attaque », s’alarme ainsi John Hultquist, analyste en chef chez Mandiant.