Lors d'une cyberattaque majeure, l'infrastructure énergétique polonaise a été la cible d'acteurs malveillants soutenus par l'État russe. Ces derniers ont exploité des vulnérabilités telles que des identifiants par défaut, l'absence d'authentification multifacteurs (AMF) et des équipements obsolètes ou mal configurés. Cette brèche, qui a touché au moins 30 installations d'énergies renouvelables, souligne les risques persistants auxquels sont confrontés les systèmes d'infrastructures critiques en raison de leur dépendance à des technologies vieillissantes difficiles à moderniser.
L'attaque a été attribuée à un groupe lié au Service fédéral de sécurité russe (FSB), connu sous le nom de Static Tundra, et possiblement associé à d'autres groupes bien documentés comme Sandworm. Ceci souligne la complexité de l'attribution des cyberattaques, où différentes sources de renseignements sur les menaces peuvent relier des activités à des entités distinctes sur la base d'éléments de preuve variables.
Un rapport de l'équipe polonaise de réponse aux incidents informatiques a révélé que l'intrusion a utilisé le logiciel malveillant DynoWiper, présentant des similitudes avec des campagnes destructrices antérieures, mais sans suffisamment de caractéristiques distinctes pour l'associer formellement à des familles connues. Cette ambiguïté dans la classification des logiciels malveillants illustre la complexité croissante du développement des logiciels malveillants et des efforts d'attribution.
La faille de sécurité, initiée plusieurs mois auparavant, a abouti à une attaque qui, de façon remarquable, n'a pas perturbé la production d'électricité ni la stabilité du réseau, malgré la possibilité pour les attaquants de provoquer des perturbations plus graves. Ceci illustre la capacité des attaquants – sinon leur intention – de causer des dommages considérables aux infrastructures critiques, soulevant de vives inquiétudes quant aux risques futurs.
Une analyse détaillée des vulnérabilités exploitées révèle de nombreuses failles de sécurité. Des dispositifs tels que les systèmes FortiGate étaient utilisés avec des interfaces exposées sur Internet, permettant un accès sans la couche de sécurité supplémentaire de l'authentification multifacteur (MFA). L'utilisation répétée des mêmes identifiants sur plusieurs sites signifiait qu'une compromission à un seul point pouvait exposer de nombreuses installations.
De plus, les attaquants sont parvenus à obtenir et à exploiter des privilèges d'administrateur pour naviguer sur les réseaux internes, en utilisant des configurations automatisées afin de conserver un avantage. De la manipulation des contrôles d'accès réseau à la désactivation des mécanismes de journalisation de sécurité, ces actions illustrent les étapes typiques des menaces persistantes avancées, démontrant la sophistication procédurale dont les acteurs malveillants peuvent faire preuve contre des systèmes insuffisamment protégés.
La complexité des infrastructures concernées, notamment les dispositifs de technologie opérationnelle dont les mises à jour de sécurité recommandées par le fabricant n'avaient pas été appliquées, a encore aggravé la situation. Les observations de tentatives de piratage de mots de passe sur les systèmes d'interface homme-machine mettent en évidence les efforts continus déployés pour pénétrer les couches de contrôle plus profondes de ces réseaux.
Cet incident met en lumière une vulnérabilité émergente des ressources énergétiques distribuées (RED), qui, contrairement aux systèmes centralisés, sont généralement plus répandues et moins protégées. À mesure que ces systèmes se développent à l'échelle mondiale, ils constituent une cible lucrative pour les groupes étatiques capables d'exploiter leur manque relatif d'investissements en cybersécurité.
Enfin, le choix du moment – lancer de telles attaques pendant les mois d’hiver – révèle une stratégie calculée visant à maximiser les perturbations potentielles pour les populations civiles, une tactique qui met en lumière les enjeux éthiques et les risques plus larges liés à la cyberguerre.
Les mésaventures du réseau énergétique polonais nous rappellent de façon cruciale l'urgence de mettre en place des cadres de sécurité robustes, capables de s'adapter et de répondre aux menaces sophistiquées qui ciblent désormais les services essentiels dans le monde entier.
