ESET, 5ème éditeur mondial, a découvert une nouvelle vague d’attaques contre le réseau de distribution électrique en Ukraine. En décembre dernier, les cybercriminels avaient organisé une importante coupure d’électricité, pendant plusieurs heures, dans différentes régions ukrainiennes. Contrairement à la fois précédente, le malware qui a été utilisé pour cette nouvelle attaque n’est pas le malware BlackEnergy.
Le scénario de l’attaque reste quasiment inchangé. Les cybercriminels ont mis en place une campagne de phishing à destination des victimes potentielles. Les emails contenaient une pièce jointe : un fichier Excel infecté, ainsi qu’un lien URL vers une image .PNG localisée sur un serveur reculé, les cybercriminels recevaient une notification quand l’email était bien envoyé et ouvert par le destinataire.
« Nous nous attendions à voir réapparaitre BlackEnergy, mais c’est un malware différent qui a été utilisé cette fois-ci. Les cybercriminels ont utilisé la version modifiée d’une porte dérobée open-source », explique Robert Lipovsky, chercheur en logiciel malveillant chez ESET.
Cette porte dérobée est capable de télécharger des fichiers et des commandes shell exécutables. Les autres fonctionnalités de ce nouveau malware – comme prendre des screenshots, keylogging, ou encore le téléchargement de fichiers – a été retiré du code source. La porte dérobée est contrôlée par l’intermédiaire d’un compte Gmail, utilisé par les cybercriminels, rendant la détection du trafic difficile.
Les attaques de malwares sur le secteur énergétique ukrainien ont été beaucoup relayées dans les médias dus aux coupures massives électriques, une première mondiale enregistrée pour ce genre d’attaque. Il reste cependant à comprendre le rôle du malware dans cette attaque.
« Nous n’avons pour le moment aucune preuve indiquant qui peut être derrière cette attaque, mais tentons de le découvrir par déduction en se basant sur la situation politique actuelle. Les recherches actuelles ne sont pas encore suffisamment avancées pour pouvoir dévoiler les origines exactes des attaques en Ukraine. Nous souhaitons éviter les conclusions trop hâtives » conclut Robert Lipovsky.
Pour en savoir plus sur cette récente attaque :
http://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/
Nous mettons également à votre disposition des informations techniques sur la précédente attaque en Ukraine et une interview de notre chercheur en logiciel malveillant.