L’Ukraine a empêché une attaque de Sandworm sur son réseau électrique

En 2015, le groupe cybercriminel Sandworm a mené une vaste offensive contre le système électrique ukrainien via le malware Industroyer, provoquant de nombreuses coupures de courant. L’attaque avait permis au NCSC, à la CISA et la NSA de lier Sandworm au GRU, une entité des renseignements russes.

Selon le CERT-UA (le CERT du gouvernement ukrainien), Sandworm avait planifié une nouvelle attaque contre une infrastructure industrielle contrôlant des sous-stations électriques à haute tension, à l’aide d’une nouvelle version de ce malware, Industroyer2. Le CERT-UA, aidé par les chercheurs d’ESET, est parvenu à bloquer l’attaque, prévue pour le 8 avril 2022 dans la soirée.

Le CERT-UA indique que les attaquants ont infecté le réseau en février 2022, puis ont réussi à atteindre l’ICS. Outre Industroyer2, les chercheurs ont identifié sur le réseau une nouvelle version du malware destructeur CaddyWiper, déployé sans doute pour ralentir la reprise de contrôle des consoles ICS après l’attaque, et pour dissimuler les traces de cette attaque.

« L’Ukraine est une fois de plus au centre de cyberattaques visant ses infrastructures critiques. Cette nouvelle campagne d’Industroyer fait suite à de multiples vagues de wipers qui ont ciblé divers secteurs en Ukraine », commentent les chercheurs d’ESET.