Sandworm a également créé NotPetya
En bref: La Russie aurait mené sa première attaque contre un système d'approvisionnement en eau américain à la suite d'un incident survenu dans une petite ville du Texas. Sandworm, qui a des liens avec le gouvernement de Vladimir Poutine, est soupçonné d'un piratage ayant provoqué le débordement d'un château d'eau.
En janvier, un habitant de la petite ville de Muleshoe, au nord du Texas, a remarqué qu'un château d'eau débordait. Des dizaines de milliers de gallons d'eau se sont déversés dans les rues et les égouts, ce que les autorités ont déterminé comme étant dû au piratage du système de contrôle de l'approvisionnement en eau.
Le Washington Post rapporte que les pirates ont publié sur Telegram une vidéo montrant les systèmes de contrôle de l'eau de la ville et une ville voisine en cours de manipulation, montrant comment ils l'ont piraté et réinitialisé les contrôles. Les attaquants se faisaient appeler la Cyber Army of Russia Reborn (CARR).
« Nous lançons un autre raid contre les États-Unis », peut-on lire en russe dans la légende de la vidéo.
Le directeur municipal de Muleshoe, Ramon Sanchez, a déclaré que les pirates avaient forcé brutalement le mot de passe de l'interface du système de contrôle, qui était gérée par un fournisseur. Le mot de passe n'avait pas été modifié depuis plus d'une décennie. Au moins deux autres villes de la région qui ont été victimes de tentatives de piratage ont fait appel au même fournisseur.
La société de cybersécurité Mandiant, propriété de Google, a déclaré que le groupe Sandworm, soutenu par le gouvernement russe, était probablement à l'origine de l'attaque. Le groupe, soupçonné de faire partie de l'agence d'espionnage russe GRU, soutient la campagne militaire russe en Ukraine. Sandworm a perturbé le réseau énergétique du pays au moins trois fois (avant même que la Russie n'envahisse le pays), piraté les Jeux olympiques de Corée du Sud en 2018, mené des campagnes de spear phishing visant à perturber les élections françaises de 2017 et lancé le célèbre ransomware NotPetya qui a causé chaos mondial en 2017.
Mandiant affirme que des comptes de réseaux sociaux ont été créés sur YouTube pour CARR à l'aide de serveurs associés à Sandworm. Il a également observé que le CARR publiait des données volées au gouvernement ukrainien par les pirates de Sandworm.
Les États-Unis ont inculpé six agents des renseignements russes soupçonnés de faire partie de Sandworm en 2020 pour divers crimes, notamment la création de NetPetya et la perturbation des élections présidentielles américaines de 2016.
Ce n’est pas la seule attaque contre une installation d’approvisionnement en eau américaine par un adversaire étranger. Il y a eu une cyberattaque contre une usine de distribution d'eau en Pennsylvanie en novembre, que les autorités américaines ont imputée à l'Iran. Il profitait d'un mot de passe constructeur par défaut sur certaines technologies opérationnelles qui n'avait pas été modifié.
Ces incidents ont conduit le conseiller à la sécurité nationale Jake Sullivan à appeler les 150 000 systèmes publics d'approvisionnement en eau du pays à renforcer leurs défenses contre les piratages.
Titre : Nils Huenerfuerst