Attaque de pirates informatiques ukrainiens sur des infrastructures russes
Le 16 avril 2024 à 16h25, des pirates informatiques ukrainiens appartenant au groupe Blackjack ont attaqué des objets russes avec le malware ICS Fuxnet. Leur but était de paralyser les infrastructures russes. Claroty, une entreprise spécialisée dans la cybersécurité pour les systèmes IoT industriels, a analysé les faits.
Fuxnet, un malware destructeur conçu pour s’attaquer aux systèmes de contrôle industriels
Le groupe de hackers ukrainien a utilisé le malware Fuxnet pour perturber les infrastructures russes. Les pirates ont lancé des attaques contre plusieurs organisations vitales russes, notamment des fournisseurs d’accès internet, des services publics, des centres de données et des installations militaires.
Récemment, Blackjack a révélé des détails sur une prétendue attaque contre Moscollector, une entreprise basée à Moscou responsable des infrastructures souterraines, notamment des systèmes d’eau, d’assainissement et de communication.
Les revendications audacieuses du groupe Blackjack
Ils ont mentionné avoir désactivé le centre d’exploitation du réseau russe qui supervise divers systèmes, notamment le gaz et l’eau, ainsi qu’une large gamme de capteurs et contrôleurs IoT à distance. Ils ont également affirmé avoir désactivé 87 000 capteurs, y compris ceux liés aux aéroports, aux systèmes de métro et aux oléoducs en utilisant le malware Fuxnet, qu’ils comparent à un “Stuxnet sous stéroïdes” capable de détruire physiquement l’équipement des capteurs.
Ils affirment que Fuxnet a inondé les réseaux RS485/MBus en envoyant des commandes aléatoires à 87 000 systèmes de contrôle intégrés et capteurs, tout en évitant les cibles civiles comme les hôpitaux et les aéroports. Ils prétendent avoir accédé au numéro d’urgence russe 112 et piraté des capteurs et des contrôleurs dans des infrastructures critiques, notamment les aéroports, les métros et les gazoducs, qui ont tous été désactivés.
Ils ont désactivé des dispositifs réseau tels que des routeurs et des pare-feu et supprimé des serveurs, des postes de travail, des bases de données, effaçant 30 téraoctets de données, y compris des disques de sauvegarde.
Ukrainian Blackjack group used ICS malware Fuxnet against Russian targets https://t.co/DRrqjvvEgp
— Patrick C Miller (@PatrickCMiller) April 17, 2024
Analyse de l’attaque par Claroty : mise en doute des revendications des pirates
Les allégations faites par les pirates sont discutables, mais Claroty a analysé le malware Fuxnet sur la base des données fournies par Blackjack. Claroty a précisé que les capteurs de Moscollector mesurant des données physiques, telles que la température, n’auraient pas été affectés par Fuxnet. Au lieu de cela, Fuxnet aurait ciblé environ 500 passerelles de capteurs relayant les informations des capteurs via un bus série, comme RS-485/Meter-Bus, transmettant les données via Internet vers un système de surveillance mondial.
Déploiement du malware et conséquences sur les infrastructures visées
L’analyse révèle que Fuxnet aurait été déployé à distance en effaçant des fichiers et des répertoires cruciaux, désactivant les services d’accès à distance, supprimant les informations de routage pour isoler les dispositifs, puis corrompant le système de fichiers et la mémoire flash dans le but de détruire la puce NAND tout en réécrivant le volume UBI pour provoquer un redémarrage et perturber davantage le fonctionnement. Il a également inondé les canaux série avec des données aléatoires, surchargeant les bus série des capteurs.
Claroty explique que le malware écrivait à plusieurs reprises des données arbitraires sur le canal Meter-Bus, empêchant la transmission et la réception des données entre le capteur et la passerelle, rendant ainsi la collecte de données inopérante. Cependant, malgré les affirmations des pirates, seules les passerelles de capteurs ont été compromises, pas les capteurs eux-mêmes.
