Les États-Unis et l’Union européenne ont déclaré mardi que la Russie était responsable d’une cyberattaque en février qui a paralysé un réseau satellite en Ukraine et dans les pays voisins, perturbant les communications et un parc éolien utilisé pour produire de l’électricité.
L’attaque du 24 février a déclenché un logiciel malveillant qui a détruit des milliers de modems satellites utilisés par les clients de la société de communication Viasat. Un mois plus tard, la société de sécurité SentinelOne a déclaré qu’une analyse du logiciel malveillant d’essuie-glace utilisé dans l’attaque partageait plusieurs similitudes techniques avec VPNFilter, un logiciel malveillant découvert sur plus de 500 000 modems domestiques et de petites entreprises en 2018. Plusieurs agences gouvernementales américaines ont attribué VPNFilter au Russe. acteurs étatiques de la menace.
Des dizaines de milliers de modems sortis par AcidRain
« Aujourd’hui, en soutien à l’Union européenne et à d’autres partenaires, les États-Unis partagent publiquement leur évaluation selon laquelle la Russie a lancé des cyberattaques fin février contre des réseaux commerciaux de communication par satellite pour perturber le commandement et le contrôle ukrainiens pendant l’invasion, et ces actions ont eu des retombées. dans d’autres pays européens », a écrit le secrétaire d’État américain Antony Blinken dans un communiqué. « L’activité a désactivé les terminaux à très petite ouverture en Ukraine et dans toute l’Europe. Cela comprend des dizaines de milliers de terminaux en dehors de l’Ukraine qui, entre autres, prennent en charge les éoliennes et fournissent des services Internet aux particuliers.
AcidRain, le nom de l’essuie-glace analysé par SentinelOne, est un logiciel malveillant jusqu’alors inconnu. Constitué d’un fichier exécutable pour le matériel MIPS des modems Viasat, AcidRain est le septième malware d’effacement distinct associé à l’invasion en cours de l’Ukraine par la Russie. Les essuie-glaces détruisent les données sur les disques durs d’une manière irréversible. Dans la plupart des cas, ils rendent des appareils ou des réseaux entiers complètement inutilisables.
Les chercheurs de SentinelOne ont déclaré avoir trouvé des similitudes de développement « non triviales » mais finalement « non concluantes » entre AcidRain et « dstr », le nom d’un module d’essuie-glace dans VPNFilter. Les ressemblances comprenaient une similitude de code de 55% mesurée par un outil connu sous le nom de TLSH, des tables de chaînes d’en-tête de section identiques et le « stockage du numéro d’appel système précédent dans un emplacement global avant un nouvel appel système ».
Les responsables de Viasat ont déclaré à l’époque que l’analyse et les conclusions de SentinelOne étaient cohérentes avec les résultats de leur propre enquête.
L’un des premiers signes du piratage s’est produit lorsque plus de 5 800 éoliennes appartenant à la société énergétique allemande Enercon ont été mises hors ligne. La panne n’a pas empêché les turbines de tourner, mais elle a empêché les ingénieurs de les réinitialiser à distance. Enercon a depuis réussi à remettre en ligne la plupart des turbines concernées et à remplacer les modems satellites.
« La cyberattaque a eu lieu une heure avant l’invasion non provoquée et injustifiée de l’Ukraine le 24 février 2022, facilitant ainsi l’agression militaire », ont écrit des responsables de l’UE dans un communiqué officiel. « Cette cyberattaque a eu un impact significatif, provoquant des pannes de communication et des perturbations aveugles dans plusieurs autorités publiques, entreprises et utilisateurs en Ukraine, ainsi qu’affectant plusieurs États membres de l’UE. »
Dans une déclaration séparée, la ministre britannique des Affaires étrangères Liz Truss a déclaré : « C’est une preuve claire et choquante d’une attaque délibérée et malveillante de la Russie contre l’Ukraine qui a eu des conséquences importantes sur les citoyens et les entreprises ordinaires en Ukraine et dans toute l’Europe ».
Cyberdélinquant récidiviste
La cyberattaque était l’une des nombreuses que la Russie a menées contre l’Ukraine au cours des huit dernières années. En 2015 et à nouveau en 2016, des pirates travaillant pour le Kremlin ont provoqué des pannes d’électricité qui ont laissé des centaines de milliers d’Ukrainiens sans chauffage pendant l’un des mois les plus froids.
À partir de janvier 2022 environ, dans la perspective de l’invasion de son pays voisin par la Russie, la Russie a déclenché une foule d’autres cyberattaques contre des cibles ukrainiennes, notamment une série d’attaques par déni de service distribuées, des dégradations de sites Web et des attaques par essuie-glace.
Outre les deux attaques contre l’infrastructure électrique ukrainienne, les preuves montrent que la Russie est également responsable de NotPetya, un autre essuie-glace qui a été lancé en Ukraine et s’est ensuite répandu dans le monde entier, où il a causé des dommages estimés à 10 milliards de dollars. En 2018, les États-Unis ont sanctionné la Russie pour l’attaque de NotPetya et son ingérence dans les élections de 2016.
Les critiques disent depuis longtemps que les États-Unis et leurs alliés n’ont pas fait assez pour punir la Russie pour NotPetya ou les attaques de 2015 ou 2016 contre l’Ukraine, qui restent les seuls hacks réels connus pour couper l’électricité.