L'attaque des hackers a privé de courant des milliers de citoyens en Ukraine occidentale en décembre. Image par Juanedc sur Flickr, CC BY 2.0.
La cyber-attaque présumée qui a induit une panne temporaire du réseau électrique ukrainien était vraisemblablement perpétrée par des pirates russes, d'après des chercheurs américains.
L'équipe de recherche en sécurité cybernétique iSIGHT Partners a indiqué [1] au magazine Infosecurity que c'était l'oeuvre du collectif pirate russe connu sous le nom de Sandworm Team [Équipe Ver de Terre].
Le service de sécurité de l'État ukrainien a aussi accusé la Russie de la coupure de la panne électrique dans la région de Ivano-Frankivsk en Ukraine occidentale le 23 décembre, qui a touché environ 80.000 personnes. À cette époque, une compagnie locale d'électricité, Prycarpattyaoblenergo, s'est plainte [2] du fait qu'une partie de sa zone de service, y compris la capitale régionale Ivano-Frankivsk, a passé plus de 6 heures sans courant électrique suite à une «interférence» dans ses systèmes de contrôle industriel. Les responsables russes n'ont jusqu'à présent émis aucun commentaire sur ces accusations.
Les experts d'iSIGHT attribuent la responsabilité de cet incident au collectif Sandworm (dont le nom est une référence à la série de science-fiction “Dune” ) se fondant sur leur analyse des logiciels malveillants connus sous les noms de BlackEnergy 3 et KillDisk utilisés dans l'attaque. BlackEnergy est le malware que le groupe affilié à la Russie utilise communément, et la surveillance a révélé une activité renouvelée [3] de BlackEnergy durant toute l'année dernière en Ukraine, touchant les secteurs gouvernementaux, de télécommunications et d'énergie. On présume aussi que BlackEnergy a été utilisé dans des attaques destructives contre des médias pendant les dernières élections.
Le groupe pirate russe a été auparavant considéré responsable d'attaques [4] non destructives aux États-Unis et en Europe à fins principalement d'espionnage, et aucune coupure ou destruction physique n'ont été rapportées en résultat de ces attaques.
« iSGHT croit que cette activité est russe à l'origine et que les intrusions exécutées contre les systèmes SCADA américains et européens venaient en reconnaissance avant l'attaque», a dit un représentant de iSIGHT à Infosecurity Magazine.
Le directeur de iSIGHT pour l'analyse d'espionnage, John Hultquist, a dit [5] à Reuters qu'il n'était pas évident que le groupe Sandworm travaille directement pour le compte du gouvernement russe. « C'est un acteur russe opérant conformément aux intérêts de l'État, » a dit Hultquist. « Est-il ou non freelance, nous ne le savons pas.»