Industroyer2 Malware

Les services d'infrastructures critiques en Ukraine ont été la cible de cyberattaques, avant et après l'invasion russe du pays. Il semble que les cybercriminels lancent toujours plus d'opérations d'attaque, l'une des dernières cibles étant un fournisseur d'énergie ukrainien.

La campagne menaçante a tenté de déployer un nouveau logiciel malveillant appelé Industroyer2, capable d'endommager ou de perturber l'ICS (Industrial Control Systems) de la victime. L'opération visait une sous-station électrique à haute tension et n'aurait pas atteint ses objectifs néfastes. L'équipe ukrainienne d'intervention d'urgence informatique (CERT-UA), Microsoft et la société de cybersécurité ESET analysent l'attaque. Jusqu'à présent, le coupable probable est le groupe de menace Sandworm, qui opérerait sous les ordres de l'agence de renseignement russe GRU.

Caractéristiques menaçantes

La menace Industroyer2 semble être une nouvelle version améliorée d'un logiciel malveillant connu sous le nom d'Industroyer ( CRASHOVERRIDE ). En décembre 2016, l'Industroyer d'origine a été déployé dans le cadre d'une attaque contre une sous-station électrique en Ukraine qui a réussi à provoquer une panne de courant de courte durée. Désormais, la menace Industroyer2 est utilisée de la même manière. Il est déployé sur les systèmes ciblés en tant qu'exécutable Windows qui devait être exécuté le 8 avril via une tâche planifiée.

Pour communiquer avec l'équipement industriel de la cible, Industroyer2 utilise le protocole IEC-104 (IEC 60870-5-104). Cela signifie qu'il peut affecter les relais de protection dans les sous-stations électriques. En revanche, l'ancienne menace Industroyer était entièrement modulaire et pouvait déployer des charges utiles pour plusieurs protocoles ICS. Une autre différence a été découverte dans les données de configuration. Alors que la menace d'origine utilisait un fichier séparé pour stocker ces informations, Industroyer2 a ses données de configuration codées en dur dans son corps. Par conséquent, chaque échantillon de la menace doit être spécifiquement adapté à l'environnement de la victime choisie.