![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj78A25ye3qssOrgppnpQulaWvYXBl1QeoZhNWsAIXSMmPGwep0lTIkCX8qeiHah46m-vyiNE3dqtYSEWvbnZxVn9F56NC-MTSsL-TR9P-aS-2zDa-MJE6mpSO5cuWHw-yU6Dvl_OpS6klxfgSNImP6ojJO8kXwRk1CqhShX7DDdgeadFll2dzTv60_\/s728-e100\/malware.jpg\"\/)
<\/div>\nL’\u00e9quipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) mardi divulgu\u00e9<\/a> qu’il a d\u00e9jou\u00e9 une cyberattaque de Sandworm, un groupe de piratage affili\u00e9 au renseignement militaire russe, pour saboter les op\u00e9rations d’un fournisseur d’\u00e9nergie anonyme dans le pays.<\/p>\n “Les attaquants ont tent\u00e9 de d\u00e9monter plusieurs composants de l’infrastructure de leur cible, \u00e0 savoir\u00a0: des sous-stations \u00e9lectriques, des syst\u00e8mes informatiques sous Windows, des \u00e9quipements de serveur sous Linux, [and] \u00e9quipement de r\u00e9seau actif \u00bb, le Service d’\u00c9tat des communications sp\u00e9ciales et de la protection de l’information de l’Ukraine (SSSCIP) mentionn\u00e9<\/a> dans un rapport.<\/p>\n La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET, qui a collabor\u00e9 avec le CERT-UA pour analyser l’attaque, a d\u00e9clar\u00e9 que la tentative d’intrusion impliquait l’utilisation de logiciels malveillants compatibles ICS et d’effaceurs de disque r\u00e9guliers, l’adversaire lan\u00e7ant une variante mise \u00e0 jour du logiciel malveillant Industroyer, qui a \u00e9t\u00e9 d\u00e9ploy\u00e9 pour la premi\u00e8re fois en un assaut en 2016 sur le r\u00e9seau \u00e9lectrique ukrainien.<\/p>\n “Les attaquants Sandworm ont tent\u00e9 de d\u00e9ployer le malware Industroyer2 contre des sous-stations \u00e9lectriques \u00e0 haute tension en Ukraine”, ESET expliqu\u00e9<\/a>. “En plus d’Industroyer2, Sandworm a utilis\u00e9 plusieurs familles de logiciels malveillants destructeurs, notamment CaddyWiper, OrcShred, SoloShred et AwfulShred.”<\/p>\n On pense que le r\u00e9seau \u00e9lectrique de la victime a p\u00e9n\u00e9tr\u00e9 en deux vagues, le compromis initial survenant au plus tard en f\u00e9vrier 2022, co\u00efncidant avec l’invasion russe de l’Ukraine, et une infiltration de suivi en avril qui a permis aux attaquants de t\u00e9l\u00e9charger Industroyer2.<\/p>\n Industroyer, \u00e9galement connu sous le nom de “CrashOverride” et surnomm\u00e9 la “plus grande menace pour les syst\u00e8mes de contr\u00f4le industriels depuis Stuxnet”, est \u00e0 la fois modulaire et capable de prendre le contr\u00f4le direct des commutateurs et des disjoncteurs d’une sous-station de distribution d’\u00e9lectricit\u00e9.<\/p>\n La nouvelle version du malware sophistiqu\u00e9 et hautement personnalisable, comme son pr\u00e9d\u00e9cesseur, exploite un protocole de communication industriel appel\u00e9 CEI-104<\/a> pour r\u00e9quisitionner les \u00e9quipements industriels tels que les relais de protection qui sont utilis\u00e9s dans les sous-stations \u00e9lectriques.<\/p>\n L’analyse m\u00e9dico-l\u00e9gale des artefacts laiss\u00e9s par Industroyer2 a r\u00e9v\u00e9l\u00e9 un horodatage de compilation du 23 mars 2022, indiquant que l’attaque \u00e9tait pr\u00e9vue depuis au moins deux semaines. Cela dit, on ne sait toujours pas comment l’installation \u00e9lectrique cibl\u00e9e a \u00e9t\u00e9 initialement compromise, ou comment les intrus sont pass\u00e9s du r\u00e9seau informatique au r\u00e9seau du syst\u00e8me de contr\u00f4le industriel (ICS).<\/p>\n ESET a d\u00e9clar\u00e9 que les actions destructrices contre l’infrastructure de l’entreprise devaient avoir lieu le 8 avril 2022, mais ont finalement \u00e9t\u00e9 d\u00e9jou\u00e9es. Cela devait \u00eatre suivi de l’ex\u00e9cution de CaddyWiper 10 minutes plus tard sur la m\u00eame machine pour effacer les traces du malware Industroyer2.<\/p>\n Outre Industroyer2 et CaddyWiper, le r\u00e9seau du fournisseur d’\u00e9nergie cibl\u00e9 aurait \u00e9galement \u00e9t\u00e9 infect\u00e9 par un ver Linux appel\u00e9 OrcShred, qui est ensuite utilis\u00e9 pour propager deux logiciels malveillants d’essuie-glace diff\u00e9rents ciblant les syst\u00e8mes Linux et Solaris – AwfulShred et SoloShred – et rendre les machines inutilisables.<\/p>\n Les d\u00e9couvertes font suite au d\u00e9mant\u00e8lement autoris\u00e9 par le tribunal de Cyclops Blink, un botnet modulaire avanc\u00e9 contr\u00f4l\u00e9 par l’acteur de la menace Sandworm, la semaine derni\u00e8re.<\/p>\n Le CERT-UA, pour sa part, a \u00e9galement mis en garde contre un certain nombre de spear-phishing campagnes<\/a> mont\u00e9 par Armageddon, un autre groupe bas\u00e9 en Russie et li\u00e9 au Service f\u00e9d\u00e9ral de s\u00e9curit\u00e9 (FSB) qui a attaqu\u00e9 des entit\u00e9s ukrainiennes depuis au moins 2013.<\/p>\n “L’Ukraine est \u00e0 nouveau au centre de cyberattaques ciblant ses infrastructures critiques”, a d\u00e9clar\u00e9 ESET. “Cette nouvelle campagne Industroyer fait suite \u00e0 plusieurs vagues d’essuie-glaces qui ont cibl\u00e9 divers secteurs en Ukraine.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Nouveau-Wiper-Malware-ciblant-lUkraine-dans-le-cadre-de-loperation.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n