Le 23 décembre dernier, une société régionale Ukrainienne de distribution électrique Kyivoblenergo informait ses clients de pannes d’alimentation électriques. Ces dernières ont tout d’abord été attribuées à des accès illégitimes dans les systèmes informatiques et les systèmes de contrôle-commande (SCADA) de l’entreprise, qui ont rendu inaccessibles plusieurs dizaines de postes haute et moyenne tension.

Dans un premier temps, le chiffre de 80 000 clients impactés par la panne a été annoncé, cependant, ce chiffre a été réévalué à 225 000 suite à l’intégration de chiffres en provenance de deux autres distributeurs d’électricité (dénommés par la suite « oblenergos »), qui ont subi des dommages similaires au même moment. Il s’agissait donc d’une attaque coordonnée.

Selon les informations recueillies par l’ICS-CERT [1], les différents oblenergos ont été en mesure de restaurer le service après quelques heures en basculant en « pilotage manuel » afin de poursuivre le contrôle et la supervision de l’acheminement de l’électricité dans la powergrid.

Cette attaque marque un tournant dans le monde de la cybersécurité des infrastructures critiques ; c’est la première fois qu’un tel impact est constaté sur des populations à l’échelle d’un État.

Le déroulement de l’attaque

Voici le déroulement de l’attaque telle qu’elle a été reconstituée dans le « Defense Use Case » du SANS[2] :

Intrusion initiale

L’infection initiale a été réalisée plus de six mois avant l’attaque via la diffusion ciblée de mails de spear-phishing véhiculant, en pièce jointe, un document Office contenant des macros.

Pour pouvoir être visualisé correctement, le document Office en question prétendait nécessiter l’activation des macros. Si la personne ayant reçu le mail activait la macro, le téléchargement et l’installation du Cheval de Troie BlackEnergy3 (BE3) étaient alors lancés.

BlackEnergy3 était alors utilisé comme point d’entrée dans les systèmes d’information ciblés.

Préparation de l’attaque

Pendant plusieurs mois et en utilisant les différentes instances de BE3 installées au sein des réseaux des oblenergos ciblés, les attaquants ont été en mesure de cartographier les systèmes d’informations ciblés, d’obtenir des couples d’identifiants/mots de passe et même d’accéder aux systèmes d’informations industriels dédiés au contrôle et à la supervision des installations électriques (SCADA).

L’accès aux SCADA a été réalisé via l’utilisation de connexions d’administration (type RDP ou VNC à travers un VPN interne) existantes entre le système d’information de gestion et le système d’information industriel. Cet accès a été réalisé en utilisant certainement les logins/mots de passe recueillis préalablement.

Après avoir obtenu un accès au système d’information industriel, les attaquants ont déterminé comment interagir avec les postes haute et moyenne tension en utilisant les logiciels SCADA et plus spécifiquement, les IHM[1] dont se servent légitimement les dispatcheurs[2].

Parallèlement, une version malveillante du firmware de convertisseurs Ethernet/Série a été développée. Ces convertisseurs se situent entre le centre de supervision et de contrôle de la powergrid (monde Ethernet) et les équipements terrain, dans les postes haute ou moyenne tension utilisant quant à eux des liaisons série.

Réalisation de l’attaque

Les attaquants ont tout d’abord utilisé les IHM SCADA identifiées auparavant pour lancer des commandes d’ouverture des disjoncteurs dans au moins sept postes haute tension et 23 postes moyenne tension au sein des trois oblenergos. Cela a eu pour conséquence de couper la distribution électrique de ces parties du réseau.

Au même moment, les attaquants ont activé le firmware malveillant chargé précédemment sur les convertisseurs Ethernet/Série des trois oblenergos. Le résultat immédiat a été l’impossibilité pour le central de supervision de commander les équipements terrain à distance et donc de réactiver les disjoncteurs ouverts. L’analogie utilisée dans le rapport du SANS pour décrire cette phase de l’attaque est de «faire sauter les ponts ». En effet, les commandes à distance à destination des équipements dans les postes haute ou moyenne tension n’étaient plus disponibles.

Les attaquants ont également utilisé un module nommé « KillDisk » sur différents postes et serveurs de supervision. L’objectif est de supprimer entièrement les données sur les disques des équipements infectés. Cela a eu pour effet de rendre ces composants inopérants et de supprimer les traces, ce qui compliquera les opérations d’analyse post-incident.

En multipliant ces actions (ordres illégitimes dans les IHM, firmwares malveillants sur les convertisseurs Ethernet/Série, module « KillDisk » sur les postes et serveurs de supervision), les attaquants se sont assurés de l’incapacité des dispatcheurs à envoyer des ordres et de disposer d’informations en provenance des équipements terrain (postes haute et moyenne tension).

Ainsi, les dispatcheurs ont dû basculer en « pilotage manuel » des postes de distribution d’électricité. Ce pilotage manuel a certainement été effectué en envoyant des opérateurs dans les postes infectés afin de remettre en fonction les équipements manuellement.

Parallèlement à toutes ces actions, les attaquants menaient une campagne de DoS (i.e. Denial Of Service[3]) téléphonique sur différents centres d’appel des oblenergos. Cela pour empêcher la société Kyivoblenergo de communiquer vers ses clients et d’empêcher ces derniers de disposer d’informations. En plus de l’aspect technique de l’interruption de distribution électrique, une atteinte à l’image de l’entreprise a été réalisée via cette ultime phase d’attaque.

Les principes de sécurisation

L’attaque de la powergrid en Ukraine montre bien que les scénarios Hollywoodiens n’ont plus rien à envier à la réalité. Face à l’émergence de plus en plus importante de la menace sur nos systèmes industriels, qui sont parfois le support d’installations critiques, voici les éléments qu’il faut prendre en compte afin d’initialiser une démarche de sécurisation :

Sensibiliser le personnel

Communiquer, sensibiliser, voire « évangéliser » l’ensemble des parties prenantes dans le système d’information industriel : automaticiens, informaticiens industriels, opérateurs, fournisseurs, intégrateurs, etc. Certaines bonnes pratiques d’hygiène informatique doivent être mises en œuvre, et cela, à tous les niveaux du système. Par exemple, la réception de mails d’origine inconnue contenant des pièces jointes douteuses pourront alerter les destinataires qui pourront à leur tour avertir les personnes compétentes sur le sujet.

Assurer une bonne gestion de crise

Il est nécessaire de disposer de procédures de gestion de crise permettant, après détection d’un évènement inhabituel, de prévenir les personnes adéquates et d’avoir les bons réflexes pour assurer la continuité de l’activité. Outre les aspects organisationnels, la gestion de crise doit s’accompagner de mesures techniques pouvant permettre le transfert de l’activité sur un site de repli, l’isolation d’une partie du réseau (« island mode ») ou encore la restauration de données sauvegardées auparavant.

Implémenter la détection et la défense en profondeur

Dans des systèmes industriels qui sont généralement « figés dans le temps » voire monolithiques du point de vue de l’architecture réseau, la mise en œuvre de solutions de supervision de la sécurité du réseau (NSM – Network Security Monitoring) a vocation à détecter les signaux faibles avant-coureurs d’une attaque, mais aussi à fournir des données inforensiques a posteriori.

A l’heure actuelle, compte tenu de la faible maturité des solutions IDS dans le monde industriel et de la complexité de mener à bien de tels projets tant du point de vue technique qu’organisationnel, il reste primordiale d’opter pour les principes de défense en profondeur et tout d’abord de bien maitriser sa sécurité périmétrique. De manière pragmatique, une première approche de supervision de la sécurité consiste à centraliser et analyser périodiquement les remontées d’informations en provenance des différents points d’interconnexion du système industriel avec l’extérieur (firewalls type UTM[1], mires VPN notamment).

Comment initier sa démarche de sécurisation de son système industriel ?

Les contraintes des systèmes industriels sont telles qu’il est impossible de transposer « tel quel » les bonnes pratiques de sécurisation que nous connaissons dans le monde bureautique depuis une quinzaine d’années.

Ainsi, une approche en trois grandes phases peut être implémentée pour enclencher une démarche de sécurisation. Cette dernière pourra être complétée par des éléments techniques de sécurité par la suite.

S’organiser
  • Communiquer, évangéliser, sensibiliser et impliquer l’ensemble des collaborateurs (opérationnels et direction générale) ;
  • Créer un groupe de travail multi-compétences regroupant les intervenants du monde bureautique et du monde industriel pour déterminer les actions disponibles ;
  • Adopter une gouvernance de sécurité de l’information adaptée à l’entreprise prenant en compte les sphères IT de gestion et IT industrielle ;
  • S’appuyer sur les intervenants sensibilisés et les ateliers moteurs comme point de départ dans le déploiement des actions.
S’évaluer
  • S’autoévaluer régulièrement en se basant sur un référentiel interne ou une norme reconnue ;
  • Réaliser un état des lieux par un partenaire externe pour identifier les vulnérabilités et risques auxquels est soumis le système industriel ;
  • Identifier les actions correctrices à mettre en œuvre afin d’atteindre un niveau de risque acceptable.
S’améliorer
  • À court terme :
    • Traiter les vulnérabilités et risques les plus critiques
    • Travailler sur les actions « Quick-Win »
    • Garantir la sécurité périmétrique
    • Mettre en place une politique de sauvegarde du système
  • À moyen terme :
    • Travailler sur les aspects de détection (NSM)
    • S’assurer de l’efficacité de la sensibilisation du personnel
    • S’assurer de l’efficacité de la gouvernance de la sécurité des systèmes
  • À long terme :
    • Avoir une vision et travailler dans le sens de l’objectif de sécurité à atteindre en se basant sur un référentiel ou une norme (CEI62443, référentiels ANSSI pour la cybersécurité des systèmes industriels, normes sectoriels comme l’ISO27019 pour le secteur de l’énergie, etc.).

Pour en savoir plus sur notre offre « cybersécurité industrielle », cliquez ici

[1] https://ics-cert.us-cert.gov/alerts/IR-ALERT-H-16-056-01
[2] https://ics.sans.org/duc5
[3] Interface Homme-Machine
[4] Opérateurs travaillant dans la salle de contrôle et assurant le bon déroulement des opérations
[5] Deni de service : Attaque de saturation sur un système (ici, le centre d’appel) pour le rendre inopérant.
[6] Unified Thread Management : pare-feu réseau qui possèdent de nombreuses fonctionnalités supplémentaires qui ne sont pas disponibles dans les pare-feu traditionnels (IDS/IPS, antivirus de passerelle, filtrage URL, etc.)