Détails d'un piratage sans précédent du réseau électrique ukrainien

Le mercredi 23 décembre 2015 à 15h30, les habitants d'Ivano-Frankivsk dans l'ouest de l'Ukraine se préparaient pour la fin de la journée de travail et allaient rentrer chez eux dans les rues froides de l'hiver. Au centre de contrôle de l'entreprise Prikarpatyeoblenergo , qui distribue de l'électricité dans la région, les répartiteurs ont presque terminé leur quart de travail. Mais lorsque l'un d'eux a rangé le papier sur la table avant de terminer le travail, le curseur sur l'écran de l'ordinateur s'est déplacé.

Le répartiteur a vu le curseur se déplacer délibérément vers les boutons de commande des disjoncteurs de la sous-station régionale, puis a appuyé sur la touche pour ouvrir la fenêtre avec les interrupteurs pour mettre la sous-station hors ligne. Une boîte de dialogue est apparue à l'écran avec une demande de confirmation de l'opération, et l'opérateur a semblé abasourdi lorsque le curseur s'est glissé dans cette fenêtre et a appuyé sur le bouton de confirmation. Il savait que quelque part dans la zone en dehors de la ville, des milliers de maisons venaient de perdre leur lumière.

Le répartiteur a attrapé la souris et a désespérément essayé de reprendre le contrôle, mais le curseur n'a pas répondu à ses manipulations. Il s'est dirigé indépendamment vers un autre interrupteur, et la session d'autorisation en cours dans le panneau de commande s'est interrompue de façon inattendue. Le répartiteur a tenté de se reconnecter à la hâte, mais son mot de passe ne fonctionnait plus: les attaquants l'ont changé. Il ne pouvait que regarder impuissant l'écran, où l'inconnu éteignait les interrupteurs de la sous-station, l'un après l'autre, arrêtant le travail d'une trentaine d'entre eux. Ils ne se sont pas arrêtés là. En plus de Prikarpatyeoblenergo, deux autres entreprises énergétiques ont été attaquées en même temps, de sorte que le nombre total de sous-stations handicapées était deux fois plus important et 230 000 habitants se sont retrouvés sans électricité. Et comme si cela ne suffisait pas, les pirates ont toujours coupé les sources d'alimentation de secours,privant les répartiteurs eux-mêmes de lumière dans deux des trois centres de contrôle.

Plan brillant

Les pirates qui ont piraté les entreprises énergétiques ukrainiennes - le premier cas confirmé au monde de coupures de courant - n'étaient pas des opportunistes testant leurs capacités. À la suite d'une enquête approfondie sur l'incident, de nouveaux détails ont été révélés: il est clair qu'il y a des stratèges qualifiés et secrets derrière l'attaque, qui ont soigneusement planifié l'attaque pendant plusieurs mois, effectuant d'abord une reconnaissance, examinant les réseaux de la victime, récupérant les informations d'identification du contrôleur, puis lançant une attaque synchrone sur trois centre de contrôle.

«Ce fut une attaque brillante», a déclaré Robert M. Lee, qui a participé à l'enquête, un ancien officier des opérations informatiques de l'US Air Force et co-fondateur de Dragos Security, spécialisé dans la protection des infrastructures critiques. - En parlant de la sophistication du piratage, de nombreuses personnes se concentrent toujours sur les logiciels malveillants qui ont été utilisés. Mais pour moi, la sophistication de l'attaque réside dans le niveau de logistique et de planification de l'opération ... et dans ce qui se passe pendant celle-ci. Et le travail était vraiment exquis. »

L'Ukraine a immédiatement indiqué que la Russie était l'initiateur de l'attaque. Robert Lee a hésité à appeler un pays, mais il a déclaré qu'il existe une distinction claire entre les différentes étapes de l'opération, ce qui implique la participation de pirates de différents niveaux à différentes étapes. Par conséquent, il est probable que l'attaque ait été menée avec la coopération de plusieurs participants complètement différents - peut-être des cybercriminels et des acteurs étatiques.

"Ce doit être une équipe bien financée et bien formée ... Mais ce n'est pas nécessairement au niveau de l'Etat", a-t-il dit. Peut-être qu'au début, les cybercriminels de bas niveau ont obtenu un accès initial au réseau, puis transféré le contrôle à des pirates informatiques plus expérimentés au niveau fédéral.

D'une manière ou d'une autre, mais une attaque réussie contre le réseau énergétique pose la question de la sécurité de ces réseaux aux États-Unis, selon les experts. Étonnamment, les systèmes de gestion ukrainiens sont mieux protégés contre une telle attaque que les systèmes américains, car ils sont bien séparés par des pare-feu des réseaux d'entreprises. Mais même une telle protection n'était pas suffisante, car les employés se connectent à distance au réseau SCADA (Supervision Control and Data Acquisition), d'où les sous-systèmes électriques sont contrôlés. Dans le même temps, l'authentification à deux facteurs est manquante, de sorte que, connaissant les informations d'identification du répartiteur, les attaquants peuvent prendre le contrôle des systèmes de contrôle des postes électriques.

L'alimentation électrique des villes ukrainiennes a été rétablie en une à six heures. Mais même plus de deux mois après l'attaque, les centres de contrôle ne sont pas revenus à leur fonctionnement normal, selon un récent rapport américain . Des experts en sécurité informatique d'Ukraine et des États-Unis affirment que les pirates ont remplacé le micrologiciel des équipements critiques dans 16 sous-stations et qu'ils ne répondent plus aux commandes du centre. L'électricité est fournie, mais les interrupteurs doivent être contrôlés en mode manuel.

Lorsque vous attaquez le réseau américain, tout peut se terminer plus tristement, car de nombreuses sous-stations américaines n'ont pas de systèmes de contrôle manuels redondants, c'est-à-dire qu'en cas de sabotage, il sera beaucoup plus difficile de rétablir l'approvisionnement en énergie.

Chronologie de l'attaque

Plusieurs agences américaines ont aidé l'Ukraine à enquêter sur l'attaque, notamment le FBI et le département américain de la Sécurité intérieure. Les consultants comprenaient des experts Robert Lee et Michael J. Assante, qui enseignent tous deux des cours de sécurité informatique au Washington SANS Institute . Ils ont été agréablement surpris que les sociétés énergétiques ukrainiennes disposent d'un système avancé de pare-feu et de journaux système qui ont aidé à recréer la chronologie des événements - ce qui n'est pas souvent observé lors d'enquêtes sur des attaques contre des sociétés commerciales, et encore moins lors d'attaques d'infrastructures critiques.

Selon Lee et l'expert ukrainien qui ont participé à l'enquête, les préparatifs de l'attaque ont commencé le printemps dernier par une campagne de phishing visant le personnel informatique des sociétés énergétiques et les administrateurs système. L'Ukraine compte 24 régions, 11 à 27 districts dans chaque région. Chaque région possède sa propre entreprise qui gère la distribution d'électricité dans le réseau. Des e-mails de phishing avec un document Word en pièce jointe ont été envoyés aux employés de trois de ces sociétés. Lorsque vous démarrez le document, une fenêtre apparaît vous demandant d'activer les macros. Si l'utilisateur l'a fait, un programme appelé BlackEnergy3 a été installé sur l'ordinateur avec une porte dérobée pour l'accès à distance. Les vulnérabilités dans Word et l'installation de chevaux de Troie via des macros sont une technique ancienne qui est récemment redevenue populaire .

Une attaque de phishing a uniquement permis aux intrus d'accéder au réseau de l'entreprise. Pour entrer dans le système SCADA, il fallait franchir le pare-feu. Pendant plusieurs mois, des pirates ont mené des activités de renseignement. Ils ont eu accès aux contrôleurs de domaine Windows, qui contrôlent les interactions utilisateur-domaine, y compris les processus de connexion utilisateur, l'authentification et les recherches dans l'annuaire. De là, ils ont pris les informations d'identification des employés, y compris les mots de passe des services VPN qui étaient utilisés à distance par les employés pour accéder au système SCADA. Après avoir pénétré SCADA, les pirates ont commencé à se préparer lentement à une attaque.

Tout d'abord, ils ont modifié la configuration des alimentations sans coupure (UPS), qui fournissaient une alimentation de secours dans deux centres de contrôle afin d'éteindre la lumière en même temps pour les résidents du pays et les répartiteurs de l'entreprise. Il s'agit d'une action flagrante et agressive qui peut être interprétée comme un «gros baiser» pour les sociétés énergétiques, a déclaré Lee.

Chaque entreprise possède son propre réseau de distribution d'électricité et, au stade du renseignement, les pirates ont soigneusement examiné ces réseaux. Ensuite, ils ont écrit les versions originales du firmware des convertisseurs série-Ethernet dans les sous-stations. Ces appareils transmettent les commandes du centre de contrôle à la sous-station. La panne du convertisseur rend impossible le contrôle à distance de la sous-station. "La mise à jour malveillante du firmware pour une opération spécifique n'a jamaispas utilisé auparavant, commente Robert Lee. - En termes d'attaque, c'est très cool. Je veux dire, vraiment un excellent travail. "

Soit dit en passant, les mêmes modèles de convertisseur série-Ethernet sont également utilisés dans les sous-stations américaines.

Armés d'un firmware malveillant, les pirates étaient prêts à lancer une attaque.

Vers 15h30 le 23 décembre, ils se sont connectés au système SCADA en utilisant les mots de passe de quelqu'un d'autre via VPN et ont envoyé des commandes pour désactiver l'onduleur préconfiguré. Ensuite, ils ont commencé à ouvrir l'accès aux sous-stations et à les éteindre un par un. Juste avant cela, une attaque téléphonique TDoS a été organisée sur les centres d'appels des compagnies d'énergie afin que les consommateurs ne puissent pas passer et informer prématurément les répartiteurs d'un black-out. Robert Lee note que les DDoS téléphoniques montrent un niveau élevé de complexité et de planification pour l'ensemble de l'opération. "Ce que les pirates informatiques sophistiqués font, c'est de faire des efforts concertés, même en tenant compte des scénarios improbables, pour s'assurer qu'ils éliminent tous les problèmes possibles", dit-il.

La réalisation de TDoS a donné aux attaquants un peu plus de temps. Jusqu'à ce que les répartiteurs remarquent une activité étrange sur les ordinateurs, certaines sous-stations seront déjà fermées. Les experts disent qu'en cas d'attaque russe à motivation politique contre l'Ukraine, le téléphone DDoS remplit une autre tâche: saper la confiance des citoyens dans les sociétés énergétiques ukrainiennes et le gouvernement.

Après avoir coupé l'alimentation des sous-stations, les pirates ont remplacé le micrologiciel des convertisseurs série-Ethernet qui y sont installés. À la fin de l'opération, ils ont lancé un malware appelé KillDisk pour effacer les fichiers et le MBR sur les ordinateurs des centres de contrôle.

Les bombes logiques installées ont démarré KillDisk sur une minuterie 90 minutes après le début de l'attaque, c'est-à-dire vers 17 heures. C'est à cette époque que Prikarpatyeoblenergo a publié un message sur son site Internet contenant des informations sur ce que les citoyens savaient déjà: l'électricité dans plusieurs zones a été coupée et une enquête est en cours sur les causes de la panne.

Une demi-heure plus tard, lorsque KillDisk a terminé ses sales affaires, Prikarpatyeoblenergo a publié un autre message: une attaque de pirate a été nommée la raison de l'échec.

...

Celui qui est derrière l'organisation de la panne d'électricité en Ukraine est la première de son genre à attaquer, ce qui crée un précédent inquiétant pour la sécurité des réseaux électriques dans le monde. Le répartiteur de Prikarpatyeoblenergo pourrait ne pas savoir ce qui menace le scintillement du curseur de la souris sur l'écran ce jour-là. Mais maintenant, tous les responsables de l'approvisionnement énergétique du monde ont reçu un avertissement. Cette attaque a été relativement courte et douce. Ce qui suit peut ne pas être le cas.

Source: https://habr.com/ru/post/fr391439/