Alors que l’hiver approche, le cauchemar des responsables français de la sécurité des systèmes d’information du secteur de l’énergie est (presque) devenu une réalité au Danemark. Le Sektor-Cert, le centre danois de réponse à incidents dédié aux infrastructures critiques, vient en effet de déplorer “la plus grande cyberattaque jamais observée contre des infrastructures critiques”.
“Si nous n’avions pas découvert et arrêté l’attaque à temps, les conséquences auraient pu être graves pour l’approvisionnement en électricité au Danemark”, résume Søren Maigaard-Tobiasen, le porte-parole de cette association rassemblant les entreprises danoises du secteur des infrastructures critiques.
22 entreprises touchées
Dévoilée à l’automne, cette attaque informatique coordonnée, détaillée dans un rapport de 32 pages, a touché au total 22 entreprises danoises au cours du moi de mai. Tout a commencé quelques semaines après l’annonce d’une vulnérabilité particulièrement critique sur des pare-feux du fabricant taïwanais Zyxel, à la fin avril.
Seize entreprises danoises sont alors visées par un attaquant utilisant cette faille. Ce dernier opère en envoyant un paquet de données sur le port 500, via le protocole UDP, vers le terminal Zyxel vulnérable. L’offensive réussit chez onze cibles, l’échec étant imputé dans les cinq autres cas à un problème de méthodologie.
“Ils savaient exactement où frapper, alors que l’information sur les terminaux vulnérables n’était pas disponible sur des services comme Shodan”, observent les experts du Sektor-Cert. Soit la preuve, évaluent-ils, que l’attaquant était bien renseigné et qu’il cherchait à rester très discret en évitant de faire trop de bruit sur le réseau.
Attaque coordonnée
Comme le souligne également l’association, le fait qu’autant d’entreprises d’un même secteur soit attaquées en même temps est assez remarquable. Ce genre de coordination “nécessite de la planification et des ressources”, rappelle-t-elle. Un mode opératoire très efficace: une première victime n’a pas le temps d’avertir ses pairs d’une nouvelle campagne malveillante.
Cette première attaque coordonnée, repérée, tombe toutefois à l’eau grâce à la riposte rapide des services de sécurité informatique des entreprises visées. Mais le 22 mai, le Sektor-Cert remarque cette fois-ci le détournement d’un pare-feu par le botnet Mirai, après donc la compromission initiale du terminal. Il sera utilisé ensuite dans le cadre de deux attaques en déni de service contre deux cibles aux Etats-Unis et à Hong-Kong.
“Cela pourrait indiquer qu’un ou plusieurs attaquants” avaient déjà connaissance des deux nouvelles vulnérabilités, qui seront finalement identifiées et signalées par Zyxel le 24 mai, souligne le Sektor-Cert. Plusieurs entreprises seront dans les jours suivant de nouveau attaquées via leurs pare-feux de leur équipementier.
Des traces de Sandworm
L’une des dernières actions malveillantes détectée a été reliée au groupe de hackeurs étatiques Sandworm, précisent les Danois. Ces derniers ont repéré l’utilisation de serveurs et d’adresses IP rattachés à ce groupe, suspecté par les américains d’être l’émanation d’un service de renseignement russe, le GRU. Il est notamment accusé d’avoir été derrière les Macron Leaks ou le hack des Jeux olympiques de PyeongChang.
Les Danois restent toutefois prudents sur une éventuelle implication de Sandworm dans la campagne malveillante, faute d’éléments supplémentaires. Le secteur de l’énergie européen est particulièrement sous tension depuis le début de l’invasion russe de l’Ukraine, en février 2022. L’Anssi avait d’ailleurs signalé en début d’année, lors de sa conférence de presse annuelle, qu’elle surveillait ce secteur.