Sandworm déploie le malware Industroyer2 contre l’Ukraine

Une nouvelle variante du malware Industroyer, utilisé avec beaucoup d’effet contre le secteur énergétique ukrainien par le groupe russe de menace persistante avancée (APT) Sandworm ou Voodoo Bear en 2016, a été identifiée par des chercheurs d’ESET, travaillant en tandem avec l’équipe nationale d’intervention en cas d’urgence informatique de l’Ukraine, CERT-UA.

Surnommé Industroyer2, il a été utilisé dans une tentative de cyberattaque contre une société énergétique basée en Ukraine dans la soirée du vendredi 8 avril 2022. L’attaque a utilisé un logiciel malveillant compatible ICS et des essuie-glaces de disque contre les systèmes d’exploitation Windows, Linux et Solaris sur les sous-stations électriques haute tension de la cible.

Le malware Industroyer2 a été compilé le 23 mars, suggérant que l’attaque était planifiée depuis un certain temps, et la compromission initiale a eu lieu en février selon CERT-UA.

Sandworm a également utilisé un certain nombre d’autres logiciels malveillants destructeurs dans son attaque, y compris le CaddyWiper, Orcshred, Soloshred et Awfulshred récemment identifiés.

« L’Ukraine est une fois de plus au centre de cyberattaques ciblant ses infrastructures critiques », a déclaré l’équipe de recherche d’ESET dans un avis de divulgation. « Cette nouvelle campagne Industroyer fait suite à plusieurs vagues d’essuie-glaces qui ont ciblé divers secteurs en Ukraine. Les chercheurs d’ESET continueront à surveiller le paysage des menaces afin de mieux protéger les organisations contre ce type d’attaques destructrices. »

ESET a déclaré qu’il n’avait pas été en mesure d’établir comment la victime avait été compromise, ni comment Sandworm, qui fait partie du Centre principal des technologies spéciales du service de renseignement russe GRU, ou GTsST, est passé latéralement du réseau informatique de la victime au réseau ICS séparé.

Industroyer2 diffère de sa société mère parce qu’elle n’utilise qu’un seul protocole – IEC-104 – pour communiquer avec les équipements industriels, et intègre une configuration détaillée et codée en dur pour piloter ses actions, ce qui le rend très spécifique et signifie qu’il doit être recompilé par ses opérateurs pour toute nouvelle victime ou tout nouvel environnement qu’ils souhaitent attaquer.

Il partage cependant plusieurs similitudes de code avec la charge utile précédente d’Industroyer, ce qui permet aux analystes d’évaluer avec une grande confiance que les deux logiciels malveillants proviennent du même code source.

Plus de détails sur le fonctionnement du malware, ainsi que de nouvelles informations sur le malware CaddyWiper utilisé à ses côtés, sont disponibles sur ESET.

Une cyberguerre parallèle

Industroyer2 est le dernier d’une série de nouveaux logiciels malveillants déployés par la Russie dans sa cyberguerre parallèle contre l’Ukraine, dont beaucoup ont également été découverts par ESET.

La campagne d’attaques destructrices d’essuie-glaces de données de Moscou a commencé dans le mois précédant l’invasion cinétique initiale de l’Ukraine, avec l’utilisation du nouveau logiciel malveillant WhisperGate contre des cibles gouvernementales à Kiev.

Au début de l’invasion, ces attaques initiales ont été suivies par l’utilisation d’autres nouveaux essuie-glaces, notamment HermeticWiper, IsaacWiper et, à la mi-mars, CaddyWiper.

En plus de son utilisation de logiciels malveillants d’essuie-glace destructeurs, la Russie a également déployé le nouveau logiciel malveillant Cyclops Blink comme moyen d’accéder aux réseaux cibles via des dispositifs de pare-feu vulnérables et de les coopter dans un botnet – bien que cela ait été neutralisé plus tôt en avril par les autorités américaines et allemandes.

Pendant ce temps, un acteur lié à l’État fantoche européen de la Russie, la Biélorussie, a ciblé les organisations impliquées dans le soutien aux réfugiés ukrainiens avec un logiciel malveillant appelé SunSeed.