Le 8 avril, à 19 heures, l’Ukraine a failli être totalement privée d’électricité. Les unités chargées de la cybersécurité du pays ont mis la main sur un logiciel malveillant installé sur les réseaux informatiques d’entreprises chargées de la distribution d’énergie. Il était programmé pour entraîner une coupure générale avant le week-end.
“Nous avons eu beaucoup de chance” a admis Viktor Zhora, patron ukrainien de la cyberdéfense, en admettant lors d’un point presse que “neuf sous-stations électriques” ont été touchées temporairement.
Durant le même point presse, le vice-ministre ukrainien du Développement numérique, Farid Safarov, a assuré que ses progrès en matière de cyberdéfense avaient permis au pays d’anticiper l’attaque, tout en admettant qu’il était impossible de “protéger le système à 100%”.
Le pire a notamment été évité grâce à un réseau international d’observateurs et d’informateurs. Cette cyberlégion internationale a prévenu à temps de la préparation d’une attaque sur le réseau électrique. Ils ont même détecté l’entreprise visée, dont le nom n’a pas été communiqué.
L’unité cyber du gouvernement ukrainien a mis en ligne un rapport complet sur cette offensive menée par le groupe Sandworm, l’autre appellation de l’unité 74455 du GRU, le service de renseignement militaire russe connu pour lancer des cyberattaques depuis des pays étrangers.
L’Unité 74455 GRU
Grâce à ces informations, les experts ukrainiens ont découvert que son réseau a été infecté par des logiciels “wiper” chargés d’effacer le contenu des ordinateurs avant de les désactiver.
Une attaque similaire contre des organisations financières aurait aussi été esquivée quelques jours plus tôt. Elle avait été repérée par Eset, une entreprise slovaque spécialisée en cybersécurité.
Selon Eset, le virus serait une version améliorée d'”Indestroyer”, un malware qui avait coupé le réseau électrique de Kiev durant l’hiver 2016. En plus d’être plus efficace, cette mise à jour serait également plus discrète en effaçant tout de suite après l’attaque les traces qui permettraient d’identifier l’unité 74455 GRU.
“En plus d’Industroyer2, Sandworm a utilisé plusieurs familles de logiciels malveillants destructeurs, notamment CaddyWiper (…) découvert pour la première fois le 14/03/2022 lorsqu’il a été utilisé contre une banque ukrainienne”, indique le rapport de l’Eset.
Cette unité de hackers est connue aux Etats-Unis pour de nombreuses actions. En 2020, le ministère américain de la Justice a inculpé six agents de l’Unité 74455 GRU. Leur dossier est lourd. Ils auraient lancé depuis les Etats-Unis la cyberattaque contre l’Ukraine en 2016.
[sendpulse-form id=”147811″]