Sandworm perturbe le réseau électrique en Ukraine au moyen d’une nouvelle attaque contre les réseaux industriels.

Fin 2022, Mandiant a réagi à un cyberincident physique disruptif au cours duquel le groupe       Sandworm, lié à la Russie, a ciblé une organisation d’infrastructure critique ukrainienne. Il s’agissait d’une cyberattaque à événements multiples qui s’appuyait sur une nouvelle technique pour toucher les systèmes de contrôle industriels (ICS) et les environnements industriels  (OT). L’acteur a d’abord utilisé des technologies opérationnelles pour déclencher les disjoncteurs de la sous-station de la société victime, provoquant une panne d’électricité imprévue qui a coïncidé avec des tirs massifs de missiles sur des infrastructures critiques en Ukraine. Sandworm a ensuite mené un deuxième événement perturbateur en déployant une nouvelle variante de CADDYWIPER dans l’environnement informatique de la victime.

Cette attaque constitue la dernière évolution de la puissance d’attaque cyberphysique de la Russie, qui est de plus en plus visible depuis l’invasion de l’Ukraine par la Russie. Les techniques utilisées au cours de l’incident suggèrent une maturité croissante de l’arsenal offensif de la Russie en matière d’OT, y compris une aptitude à reconnaître de nouveaux vecteurs de menace OT, à développer de nouvelles compétences et à tirer parti de différents types d’infrastructures OT pour exécuter des attaques. En utilisant les techniques LotL, l’acteur a probablement réduit le temps et les ressources nécessaires pour mener sa       cyber-attaque physique. Bien que Mandiant n’ait pas été en mesure de déterminer le point d’intrusion initial, notre analyse suggère que la composante OT de cette attaque a pu être développée en deux mois seulement. Cela indique que le pirate est probablement capable de développer rapidement des moyens similaires contre d’autres systèmes OT provenant de différents fabricants d’équipements d’origine (OEM) dans le monde entier.

Mandiant a d’abord suivi cette activité sous le nom d’UNC3810 avant de fusionner le groupe avec Sandworm. Sandworm est un groupe de pirates à spectre complet qui mène des opérations d’espionnage, d’influence et d’attaque à l’appui de la Direction générale du renseignement (GRU) de la Russie depuis au moins 2009. Le groupe s’est longtemps concentré sur l’Ukraine, où il a mené une campagne d’attaques perturbatrices et destructrices au cours de la dernière décennie en utilisant des logiciels malveillants de type « wiper », y compris lors de la ré-invasion de la Russie en 2022. Au-delà de l’Ukraine, le groupe continue de mener des opérations d’espionnage de portée mondiale qui illustrent les ambitions et les intérêts considérables de l’armée russe dans d’autres régions. Des actes d’accusation du gouvernement ont établi un lien entre le groupe et le Main Center for Special Technologies (également connu sous le nom de GTsST et d’unité militaire 74455). Compte tenu de l’activité mondiale de Sandworm et de ses fonctionnalités inédites dans le domaine des technologies de l’information, il faut que les propriétaires d’actifs informatiques prennent des mesures pour atténuer cette menace

Si vous avez besoin d’aide pour répondre à ces menaces, veuillez contacter Mandiant Consulting. Une analyse plus approfondie de l’activité de Sandworm est disponible dans le cadre de Mandiant Advantage Threat Intelligence.

Résumé de l’incident

D’après l’analyse de Mandiant, l’intrusion a commencé en juin 2022 ou avant, et a abouti à deux événements perturbateurs les 10 et 12 octobre 2022. Bien que le vecteur d’accès initial à l’environnement informatique n’ait pas pu être identifié, Sandworm a accédé à l’environnement OT par le biais d’un hyperviseur qui hébergeait une instance de gestion de contrôle de supervision et d’acquisition de données (SCADA) pour l’environnement de la sous-station de la victime. D’après les preuves de mouvements latéraux, l’attaquant a potentiellement eu accès au système SCADA pendant trois mois.

Le 10 octobre, l’acteur a utilisé une image de disque      (ISO) nommée « a.iso » pour exécuter un binaire MicroSCADA natif dans une tentative probable d’exécuter des commandes de contrôle malveillantes pour éteindre les sous-stations. Le fichier ISO contenait au moins les éléments suivants :

●      « lun.vbs », qui exécute n.bat.

●      « n.bat », qui exécute probablement l’utilitaire natif scilc.exe

●      « s1.txt », qui contient probablement les commandes MicroSCADA non autorisées.

Sur la base d’un horodatage du 23 septembre de « lun.vbs », il s’est potentiellement écoulé deux mois entre le moment où l’attaquant a obtenu l’accès initial au système SCADA et celui où il a développé la capacité OT. Bien que la récupération de l’exécution de la commande ICS mise en œuvre par le binaire ne soit pas complète, il est établi que l’attaque a entraîné une coupure d’électricité imprévue. La figure 1 présente une visualisation de la chaîne d’exécution à l’origine de l’événement OT perturbateur.