La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015

06/05/2016
Publication REE REE 2016-2
OAI : oai:www.see.asso.fr:1301:2016-2:16479
DOI : http://dx.doi.org/10.23723/1301:2016-2/16479You do not have permission to access embedded form.

Résumé

La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015

Métriques

107
10
215.23 Ko
 application/pdf
bitcache://e57dc4ea437fea3fe4f5867144058ae5be32bf7d

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2016-2/16479</identifier><creators><creator><creatorName>Jean-Pierre Hauet</creatorName></creator></creators><titles>
            <title>La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015 </title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2016</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Fri 6 May 2016</date>
	    <date dateType="Updated">Thu 26 Jan 2017</date>
            <date dateType="Submitted">Sat 17 Feb 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">e57dc4ea437fea3fe4f5867144058ae5be32bf7d</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>27626</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

12 REE N°2/2016 ©gjp311-Fotolia ACTUALITÉS Le 23 décembre 2015, à partir de 15 h 30 environ, les opé- rateurs des centres de contrôle de trois distributeurs d’élec- tricité de l’Ouest de l’Ukraine (dans l’oblast d’Ivano-Frankivsk notamment) perdent le contrôle du système électrique dont ils ont la charge. Sur leurs écrans de contrôle, une main invi- sible s’est emparée du curseur et ouvre un à un les disjonc- teurs qui commandent le réseau. Les opérateurs essaient de reprendre le contrôle mais rien ne répond et la machine leur refuse l’accès. Ils tentent de se connecter à nouveau mais leurs mots de passe sont devenus inopérants. En l’espace d’une demi-heure, une trentaine de sous- stations sont mises hors service et 225 000 foyers de l’Ouest ukrainien sont privés d’électricité. Les centres de contrôle eux-mêmes sont plongés dans le noir car les alimentations de secours (UPS) ne fonctionnent pas. Impossible de faire le point de la situation au téléphone car le réseau est saturé. Quatre-vingt-dix minutes après l’attaque une bombe logique active un logiciel malveillant qui détruit les logiciels implan- tés sur les stations de contrôle. Des agents sont envoyés sur le terrain et l’alimentation est rétablie manuellement en quelques heures mais deux mois après les évènements l’ex- ploitation n’était pas encore redevenue normale. Le scénario probable de l’attaque Dès 17 h 37, la principale utilité touchée, Prykarpattya Oblenergo (http://www.oe.if.ua/), évoquait sur son site Inter- net l’hypothèse d’une ingérence extérieure et présentait ses excuses à ses clients. Par la suite les autorités ukrainiennes ont fait appel au FBI et au Department of Homeland Security américains pour analyser le déroulement de la cyberattaque. Cette attaque semble avoir été conduite par deux équipes d’intervenants successifs : mercenaires du cybercrime, comme il en existe en Chine, aux Etats-Unis et en Russie, qui aurait conçu le scénario et mené à bien la phase préliminaire ; - nels des réseaux électriques capables d’opérer à distance un système de contrôle. La phase préliminaire a consisté en une attaque banale en spear-phishing (harponnage) qui remonterait à mai 2015 et s’est traduite par l’envoi d’un grand nombre de courriels non sollicités vers les utilités ukrainiennes et d’ailleurs également vers d’autres infrastructures du pays. A ces courriels était joint un document Word contenant des macros qu’à l’ouverture le destinataire était invité à activer. Des informations dispo- nibles publiquement sur Internet ont peut-être facilité l’at- taque, un intégrateur ayant par exemple documenté (à des fins commerciales) la prestation pour l’un des opérateurs, avec la liste détaillée des matériels et versions mis en place, dont les passerelles Ethernet-série. L’attaque a été fructueuse sur trois compagnies régionales d’électricité permettant à l’agresseur de pénétrer dans le sys- tème de gestion des entreprises. Il leur fallait alors descendre au niveau des SCADA (Supervisory Control and Data Acqui- sition) qui étaient tous différents et protégés par des pare- feu. Le passage ne s’est pas fait en force, en exploitant des failles éventuelles des équipements, mais après quelques mois en utilisant des accès légitimes : après reconnaissance approfondie des lieux et compromission des contrôleurs de domaine Windows, les attaquants ont eu accès aux clés et mots de passe protégeant les passerelles et les réseaux de commande à distance (VPN) vers les SCADA. Les logiciels de contrôle et les UPS ont été reconfigurés pour préparer l’attaque. VPN et les UPS ont été neutralisées. Les disjoncteurs ont été actionnés les uns après les autres sans que les opéra- La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015 REE N°2/2016 13 teurs puissent s’y opposer. Puis le firmware des passerelles Ethernet-Série a été écrasé, les rendant non seulement ino- pérantes mais irrécupérables et contribuant à empêcher la reprise de contrôle. Les centres de contrôle ont été plongés dans l’obscurité du fait de la défaillance des UPS. Dans le même temps, une attaque en déni de service, sous forme d’une vague d’appels massifs provenant d’un pays voisin, a neutralisé le réseau téléphonique. Seul, le réseau Internet est resté en service permettant aux compagnies d’informer leurs usagers via leurs sites. A la fin de l’attaque, le logiciel malveillant KillDisk, activé par une bombe logique, est venu effacer les logiciels installés dans les stations opérateurs, ainsi que des systèmes d’en- trées-sorties déportées (RTU), ce qui a rendu plus difficile la restauration des réseaux. Il est à noter que le logiciel malveillant Blackenergy3 utilisé à plusieurs reprises dans des campagnes précédentes tou- chant notamment l’Ukraine1 , semble avoir été utilisé comme trojan pour pénétrer par harponnage les systèmes et per- mettre l’installation d’une porte dérobée. La figure 1 repro- duit un message utilisant Blackenergy qui semble provenir du Conseil suprême d’Ukraine, le Rada. Les enseignements à en tirer Cette attaque très sophistiquée est la troisième connue conduisant à une défaillance majeure sur une installation 1 Blackenergy est un logiciel malveillant dont les premières versions remontent à 2007. Il a été utilisé notamment dans les cyberattaques contre la Géorgie en 2008. Il a été perfectionné depuis et serait couramment utilisé par le gang russe Quedagh. Voir les informa- tions diffusées par F-secure (Finlande) : https://www.f-secure.com/ documents/996508/1030745/blackenergy_whitepaper.pdf industrielle, après l’attaque Stuxnet (juillet 2010) et celle dirigée en 2014 contre une usine métallurgique allemande. De nombreux enseignements seront à en tirer et le débrie- fing ne fait que commencer. En premier lieu, une sensibilisation de tous les person- nels aurait permis d’éviter de tomber dans le piège du har- ponnage. En second lieu il faut renforcer la protection des communications entre système de gestion et système de contrôle. L’IEC 62443 impose un contrôle d’identification basé sur deux facteurs mais d’autres solutions, telles que les data-diodes peuvent s’imposer. La procédure des «listes blanches» permet également d’éviter l’installation d’applica- tions corrompues. Enfin des solutions de détection d’intru- sion sur réseau industriel, permettant d’identifier les activités malveillantes, notamment durant les phases de découverte de réseau, pourront à l’avenir réduire le risque, mais sont aujourd’hui à un stade encore peu mature. Il faut également revoir les sécurités des réseaux de com- munication à distance (VPN), comprendre pourquoi elles ont été franchies et bien entendu, revoir la sécurité des UPS, notamment leurs accès à distance pour la télémaintenance. L’ICS-CERT du DHS américain fournit une première liste de recommandations accessibles sur https://ics-cert.us-cert. gov/alerts/IR-ALERT-H-16-056-01 . Cet incident vient souligner, s’il en était besoin, l’utilité des travaux engagés par la SEE dans le cadre du groupe de travail sur la cybersécurité des réseaux électriques intelligents dont le Livre blanc, publié, à la fin 2015, peut être téléchargé sur http://www.see.asso.fr/node/15232/lightbox2 JPH ACTUALITÉS Figure 1 : Courriel semblant provenir du Rada ukrainien et utilisé dans des attaques de spear-phishing fondées sur black energy. Source : CyS Centrum LLC.