Fin décembre, le réseau de distribution électrique ukrainien est tombé en panne. Certains pointent du doigt une cyber attaque, le coupable répondant au doux nom de BlackEnergy. Par la voix de son ministre de l’énergie, le gouvernement ukrainien a annoncé l’ouverture d’une enquête sur ces événements, les services secrets du pays pointant eux déjà la probable responsabilité de la Russie.

 source.

Pour tout observateur un peu sérieux, désigner ainsi le coupable est aller un peu vite en besogne, mais reconnaissons que c’est tellement plus simple de dénoncer la Russie quand on est son voisin et que les relations de voisinage sont tumultueuses. Bien plus d’ailleurs que d’accuser la Chine ou la Corée du Nord.
Cette information est reprise par d’autres sites. L’un déclare : Les premiers éléments publiés par l’éditeur d’antivirus Eset ou par la société de sécurité iSight indiquent en effet que la panne pourrait provenir de la diffusion d’un malware, BlackEnergy, et un autre hurle avec les loups sans avancer de preuve supplémentaire ou étayer les dires précédents.
D’autres s’avèrent heureusement plus prudents : The report stresses there’s no evidence BlackEnergy or its recently developed KillDisk component was the direct cause of the outage, which so far has been shown to affect about 80,000 customers.

Tous les éléments à charge et d’étonnement peuvent être considérés comme des cris d’orfraie. Pourquoi ? Parce que ce type d’attaque n’est pas étonnant du tout. Il faudrait être naïf pour penser que l’industrie ne serait jamais la cible de cyber attaques. Les cibles, les types d’auteurs et les objectifs de ces attaques sont clairement exposés dans L’entreprise, nouveaux défis cyber, qu’il vous faut absolument vous procurer si personne ne vous l’a offert à Noël…
Gérôme Billois, de Solucom, nous explique qu’on assiste d’ailleurs à une montée en puissance des attaques ciblant les systèmes industriels et fournit même un exemple : Fin 2014, le BSI, l’équivalent allemand de l’Anssi, mentionnait dans un rapport qu’un four d’une aciérie avait été endommagé suite à une cyberattaque.

Un autre élément étonne particulièrement dans cette affaire, c’est la rapidité avec laquelle les investigations ont été conduites : l’attaque a eu lieu le 23/12 et le 05/01, le coupable et le mode opératoire étaient déjà connus ! L’inattribution dans le cyberespace ne serait-elle plus qu’un souvenir ?
Heureusement, on lit le 01/01 ici : with this type of analysis there’s not much that can be definitively stated in terms of attribution or impact. It is not currently possible right now to state that the malware recovered caused the loss of power in Ukraine. La raison n’a pas entièrement déserté le cyberespace…
D’ailleurs, suite à ce que déclare ICS Sans, John Hultquist reste dans cette ligne de prudence lorsqu’il écrit : iSIGHT Partners is still collecting information on the mechanics of the power outage and what role the KillDisk malware played in the greater event. We cannot confirm that the KillDisk malware caused the outage. It may have been used following steps to manipulate power in order to impede restoration efforts or operator visibility. It is noteworthy that technical support numbers associated with the power authorities were allegedly flooded with calls, which may have been an effort to further overwhelm responders. On their official website, the Ukrainian security service, SBU, made this claim.
Nous n’en sommes qu’à la présomption de preuves puisqu’en 2014 le même auteur pistait déjà la sandworm team étant accusée de cibler les SCADA : Late last week, through some excellent sleuthing, TrendMicro obtained evidence that Sandworm Team was targeting industrial control systems. More specifically, while searching an open command and control server, they found a file associated with CIMPLICITY, HMI and SCADA software designed by GE. L’article de TrendMicro étant disponible ici.

2016 sera-t-elle l’année des SCADA ? Car le 05/01 via cet article nous apprenons que : Serious flaws in rail networks are opening trains to stealing and derailment according to a group of Russian industrial control specialist hackers known as Scada Strangelove. Sergey Gordeychik, Aleksandr Timorin and Gleb Gritsai say that there are possible paths between the operational systems and passenger entertainment systems on some trains.
Le même site proposant la présentation (type ppt) effectuée par les auteurs, les diapos 89 à 91 étant particulièrement intéressantes (mais rien n’est à jeter).

Que fait l’Empire, puisque ce que l’Empire fait sert d’étalon au reste du monde ?
Il s’en préoccupe.
Nous trouvons d’ailleurs dans ce document : DHS has responsibility for protecting unclassified federal civilian systems and networks and assisting agencies in responding to cyber threats and attacks. DHS is also the lead agency for coordinating with the private sector to protect critical cyber infrastructure assets. DOD is responsible for defending the nation against cyberattacks of “significant consequence,” as well as conducting military operations in cyberspace. DOD is also responsible for assisting DHS in fulfilling its government-wide cybersecurity roles.
La liste des infrastructures critiques impériales est disponible ici.
N’attendons cependant pas qu’il communique en cas de cyber-attaque visant ses infrastructures critiques. Une telle communication signifierait qu’il est vulnérable et signerait l’arrêt de mort de la cyber-dissuasion, thème qu’il essaie d’entretenir.