Détecter les malwares Industroyer2 et CaddyWiper : Sandworm APT frappe les installations électriques ukrainiennes

[post-views]
avril 12, 2022 · 5 min de lecture
Détecter les malwares Industroyer2 et CaddyWiper : Sandworm APT frappe les installations électriques ukrainiennes

CERT-UA en collaboration avec Microsoft et ESET a récemment signalé le cyberattaque à grande échelle sur les fournisseurs d’énergie ukrainiens, marquant la deuxième attaque de coupure de courant dans l’histoire humaine. Cette dernière activité est attribuée au groupe APT Sandworm affilié à la Russie Sandworm APT group également suivi sous le nom UAC-0082.

Dans cette attaque même, les acteurs de la menace ont exploité Industroyer2, le dernier échantillon du célèbre Industroyer malware famille conçue pour attaquer les réseaux électriques qui a été découverte pour la première fois par les chercheurs d’ESET en juin 2017. Le cyberattaque de 2017 remonte aux coupures de courant massives induites par les logiciels malveillants causées par le célèbre BlackEnergy malware conçu pour paralyser l’infrastructure critique des entreprises électriques ukrainiennes.

Dans la dernière cyberattaque sur les installations électriques ukrainiennes, en plus de l’utilisation de la souche malveillante Industroyer, le groupe APT Sandworm a également utilisé un effaceur de données réputé surnommé CaddyWiper. Ce dernier est un autre logiciel malveillant de nettoyage de données qui a émergé juste après HermeticWiper and WhisperGate attaques visant les organisations ukrainiennes.

Industroyer Reloaded : Sandworm déploie Industroyer2 pour paralyser le réseau électrique ukrainien

CERT-UA en collaboration avec les experts en cybersécurité d’ESET et de Microsoft a déjoué la cyberattaque massive contre les fournisseurs d’énergie ukrainiens. Cela représente la deuxième attaque de coupure de courant dans l’histoire humaine qui a été minutieusement planifiée par le Sandworm APT soutenu par la Russie pour perturber l’infrastructure critique de l’Ukraine.

Selon l’ analysed’ESET, les actions malveillantes ont été préparées par des pirates au moins deux semaines à l’avance et le lancement de l’attaque était prévu pour le 8 avril 2022. Les acteurs de la menace Sandworm prévoyaient de déployer Industroyer2, le successeur du célèbre malware Industroyer, pour perturber les opérations des sous-stations électriques à haute tension en Ukraine.

En plus du malware capable de ICS, les pirates ont utilisé plusieurs familles d’effaceurs. En particulier, CERT-UA rapporte que le CaddyWiper a été appliqué contre les ordinateurs personnels, les serveurs et les systèmes de contrôle de processus automatisés sous Windows OS. Pour les systèmes basés sur Linux, les attaquants ont utilisé les scripts d’effacement de données RSHRED, SOLOSHRED et AWFULSHRED. Il est supposé que les effaceurs ont été déployés avec l’intention de supprimer les traces d’Industroyer2 et de compliquer la reprise de contrôle des consoles ICS pour les opérateurs de réseau électrique.

The Sandworm Group est connu pour avoir été attribué à la Direction générale du renseignement de l’état-major général de la Russie (GRU) Centre principal des technologies spéciales (GTsST) unité militaire 74455. Entre 2015 et 2017, Sandworm a attaqué à plusieurs reprises l’infrastructure critique ukrainienne en utilisant les célèbres échantillons de logiciels malveillants BlackEnergy et Industroyer. Les perturbations dans la performance du réseau électrique ont conduit à des coupures de courant massives dans tout le pays, marquant le premier cas dans l’histoire humaine où une menace cybernétique a entraîné de graves dommages aux actifs opérationnels des installations physiques. Ensuite, en 2017, le célèbre NotPetya malware a été appliqué par le groupe Sandworm pour paralyser les institutions bancaires ukrainiennes. Cette cyberattaque a évolué en une crise mondiale avec des millions de cas compromis et des milliards de dollars de pertes. Plus tard, en 2018, la Russie a utilisé un autre logiciel malveillant dévastateur, VPNFilter, pour attaquer la station de distillation de chlore d’Auly. Enfin, plusieurs cyberattaques destructrices par le groupe APT Sandworm ont pris de l’ampleur en 2020-2021, avec de nombreuses institutions gouvernementales et entreprises attaquées. Vous pouvez explorer la chronologie détaillée de la guerre russe ici.

Détection d’Industroyer2 : Dernière attaque par Sandworm APT

Les praticiens de la sécurité peuvent détecter de possibles cyberattaques incluant les souches de logiciels malveillants Industroyer2 et CaddyWiper dans leur infrastructure à l’aide d’un ensemble de règles Sigma sélectionnées basées sur des sources de journaux Windows et Linux :

Règles Sigma pour détecter les cyberattaques par Sandworm APT (UAC-0082)

Pour simplifier la recherche de contenu de détection dédié pour la dernière activité Sandworm APT (UAC-0082), tous les algorithmes de détection référencés ci-dessus sont étiquetés en conséquence sous #UAC-0082.

Veuillez noter que seuls les utilisateurs enregistrés peuvent utiliser ces détections depuis la plateforme Detection as Code de SOC Prime . Toutes les règles basées sur Sigma incluses dans cette pile de détection sont disponibles via l’éventail de cartes de crédit #Sigma2SaveLives . 100 % des revenus de chaque abonnement acheté vont à la Fondation ukrainienne Come Back Alive.

Les professionnels de la sécurité peuvent également utiliser des requêtes de chasse sélectionnées à partir du kit de règles ci-dessus pour rechercher instantanément les menaces cybernétiques liées à la Russie avec le module Quick Hunt de SOC Prime. Pour plus de détails sur comment approfondir la recherche des dernières menaces associées au groupe APT Sandworm, veuillez consulter ce tutoriel vidéo.

Contexte MITRE ATT&CK®

Pour plonger dans le contexte de la dernière cyberattaque destructrice du groupe APT Sandworm/UAC-0082 ciblant les installations électriques ukrainiennes, les règles de détection basées sur Sigma dédiées sont alignées avec la matrice MITRE ATT&CK v.10 abordant toutes les tactiques et techniques pertinentes :

Les professionnels de la sécurité peuvent également consulter le fichier ATT&CK Navigator ci-dessous avec les TTPs cartographiés. Pour plus de détails, veuillez vous référer ici.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités