Au cours de la dernière décennie, la Russie a multiplié les attaques contre les civils ukrainiens, tant sur le plan numérique que physique, utilisant souvent l’hiver comme une arme. Cela inclut des cyberattaques visant les services publics d’électricité pour provoquer des coupures en décembre, ainsi que des bombardements impitoyables des infrastructures de chauffage. En janvier dernier, des hackers basés en Russie ont tenté une nouvelle méthode pour plonger les Ukrainiens dans le froid : un échantillon de logiciel malveillant qui, pour la première fois, a permis aux attaquants d’accéder directement à un service de chauffage ukrainien, coupant le chauffage et l’eau chaude de centaines de bâtiments en pleine vague de froid.
La société de cybersécurité industrielle Dragos a révélé mardi un nouvel échantillon de malware lié à la Russie, qu’elle pense avoir été utilisé dans une cyberattaque fin janvier contre un service de chauffage à Lviv, en Ukraine, désactivant le service pour 600 bâtiments pendant environ 48 heures. Cette attaque, où le malware a modifié les relevés de température pour tromper les systèmes de contrôle en refroidissant l’eau chaude circulant dans les tuyaux des bâtiments, constitue le premier cas confirmé de sabotage direct d’un service de chauffage par des hackers.
Le rapport de Dragos sur le malware indique que l’attaque a eu lieu à un moment où Lviv subissait son gel habituel de janvier, proche de la période la plus froide de l’année dans la région, et que « la population civile a dû endurer des températures inférieures à zéro [Celsius] ». Comme le souligne l’analyste de Dragos, Kyle O’Meara : « C’est vraiment déplorable de couper le chauffage en plein hiver. »
Le malware, que Dragos a nommé FrostyGoop, représente l’un des moins de dix échantillons de code jamais découverts dans la nature, conçu pour interagir directement avec les logiciels de contrôle industriel dans le but d’avoir des effets physiques. C’est également le premier malware jamais découvert qui tente d’exécuter ces effets en envoyant des commandes via Modbus, un protocole couramment utilisé et relativement peu sécurisé pour communiquer avec la technologie industrielle.
Dragos a d’abord découvert le malware FrostyGoop en avril, après qu’il ait été téléchargé sous plusieurs formes sur un service de scan de malware en ligne, probablement VirusTotal, bien que Dragos ait refusé de confirmer le service exact. Cela a probablement été fait par les créateurs du malware pour tester s’il était détecté par les systèmes antivirus. En collaboration avec le Centre de situation de cybersécurité d’Ukraine, une partie de l’agence de cybersécurité et de renseignement SBU du pays, Dragos a appris que le malware avait été utilisé dans l’attaque cybernétique ciblant un service de chauffage à partir du 22 janvier à Lviv, la plus grande ville de l’ouest de l’Ukraine.
Dragos a choisi de ne pas nommer le service public victime de l’attaque, affirmant qu’il n’avait pas confirmé de manière indépendante le nom de l’utilité, car il n’en avait pris connaissance que par le gouvernement ukrainien. Cependant, la description de l’attaque par Dragos correspond étroitement aux rapports d’une panne de chauffage chez Lvivteploenergo à la même période, qui, selon les médias locaux, a entraîné une perte de chauffage et d’eau chaude pour près de 100 000 personnes.
Le maire de Lviv, Andriy Sadovyi, a qualifié l’événement de « dysfonctionnement » dans un message sur le service de messagerie Telegram, mais a ajouté qu’il y avait « des soupçons d’interférence externe dans le système de travail de l’entreprise, cette information est actuellement vérifiée ». Une déclaration de Lvivteploenergo le 23 janvier a décrit la panne plus catégoriquement comme le « résultat d’une attaque de hacker ».
Lvivteploenergo n’a pas répondu à la demande de commentaire de WIRED, tout comme la SBU. L’agence de cybersécurité d’Ukraine, les Services d’État pour la communication spéciale et la protection de l’information, a également refusé de commenter.
Dans son analyse de l’attaque contre le service de chauffage, Dragos indique que le malware FrostyGoop a été utilisé pour cibler des dispositifs de contrôle ENCO, des outils de surveillance industrielle activés par Modbus vendus par la société lituanienne Axis Industries, et modifier leurs sorties de température pour couper l’eau chaude. Dragos a révélé que les hackers avaient en fait accédé au réseau des mois avant l’attaque, en avril 2023, en exploitant un routeur MikroTik vulnérable comme point d’entrée. Ils ont ensuite établi leur propre connexion VPN vers le réseau, qui se connectait à des adresses IP à Moscou.
Malgré cette connexion avec la Russie, Dragos affirme ne pas avoir lié l’intrusion dans le service de chauffage à un groupe de hackers connu qu’il suit. Dragos a noté en particulier qu’il n’a pas, par exemple, lié le piratage aux suspects habituels tels que Kamacite ou Electrum, des noms internes de Dragos pour des groupes plus largement appelés Sandworm, une unité notoire de l’agence de renseignement militaire russe, le GRU.
Dragos a constaté que, bien que les hackers aient utilisé leur intrusion dans le réseau du service de chauffage pour envoyer des commandes Modbus de FrostyGoop ciblant les dispositifs ENCO et paralysant le service, le malware semblait être hébergé sur l’ordinateur des hackers, et non sur le réseau de la victime. Cela signifie qu’un simple antivirus, plutôt qu’une surveillance réseau et une segmentation pour protéger les dispositifs Modbus vulnérables, ne suffira probablement pas à prévenir une utilisation future de l’outil, avertit l’analyste de Dragos, Mark « Magpie » Graham. « Le fait qu’il puisse interagir avec des dispositifs à distance signifie qu’il n’est pas nécessairement déployé dans un environnement cible », explique Graham. « Vous ne le verrez peut-être jamais dans l’environnement, seulement ses effets. »
Bien que les dispositifs ENCO du service de chauffage de Lviv aient été ciblés depuis l’intérieur du réseau, Dragos avertit également que la version antérieure de FrostyGoop qu’il a trouvée était configurée pour cibler un dispositif ENCO qui était accessible publiquement sur Internet. Dans ses propres analyses, Dragos a trouvé au moins 40 dispositifs ENCO similaires laissés vulnérables en ligne. L’entreprise avertit qu’il pourrait en fait y avoir des dizaines de milliers d’autres dispositifs activés par Modbus connectés à Internet qui pourraient potentiellement être ciblés de la même manière. « Nous pensons que FrostyGoop pourrait interagir avec un grand nombre de ces dispositifs, et nous sommes en train de mener des recherches pour vérifier quels dispositifs seraient effectivement vulnérables », déclare Graham.
Bien que Dragos n’ait pas officiellement lié l’attaque de Lviv au gouvernement russe, Graham lui-même ne se prive pas de décrire l’attaque comme une partie de la guerre de la Russie contre l’Ukraine — une guerre qui a brutalement décimé les infrastructures critiques ukrainiennes par des bombardements depuis 2022 et par des cyberattaques bien plus tôt, depuis 2014. Il soutient que le ciblage numérique des infrastructures de chauffage en plein hiver pourrait en réalité être un signe que la capacité croissante des Ukrainiens à abattre les missiles russes a contraint la Russie à revenir à des sabotages basés sur le piratage, en particulier dans l’ouest de l’Ukraine. « Le cyber peut en fait être plus efficace ou plus susceptible de réussir dans une ville là-bas, tandis que les armes cinétiques peuvent encore réussir à une portée plus proche », explique Graham. « Ils essaient d’utiliser tout le spectre, tous les outils disponibles dans leur arsenal. »
Alors que ces outils évoluent, Graham décrit les objectifs des hackers en des termes qui ont peu changé au cours de la décennie d’histoire de la Russie à terroriser son voisin : une guerre psychologique visant à saper la volonté de l’Ukraine de résister. « C’est ainsi que vous érodez la volonté du peuple », déclare Graham. « Ce n’était pas destiné à perturber le chauffage pour tout l’hiver. Mais juste assez pour amener les gens à se demander, est-ce la bonne décision ? Devons-nous continuer à nous battre ? »