Le secteur énergétique suisse est actuellement visé par une vague de cyberattaques. Le groupe derrière ces attaques malveillantes s’appelle Dragonfly (libellule en français). Il est en activité depuis 2011, mais a accru ses actions depuis 2 ans avec la campagne « Dragonfly 2.0 » avec un pic d’activité en 2017.

Dragonfly semble s’intéresser à la fois à savoir comment fonctionnent les installations énergétiques, mais aussi à accéder aux systèmes opérationnels eux-mêmes.

Cyberattaques

En 2015, la société informatique américaine Symantec a identifié une première attaque de la part du groupe Dragonfly. Elle se présentait sous forme d’invitation à une fête de Nouvel An via un courrier électronique destiné aux acteurs du secteur énergétique.

Par la suite, le groupe a généré d’autres attaques ciblées via des courriels malveillants. Les courriels contenaient des contenus spécifiques au secteur de l’énergie ainsi que des préoccupations commerciales d’ordre général. Les attaques sont généralement précédées d'une phase de collecte de renseignements où les intrus réunissent des informations d'identification qui seront utilisées dans une phase ultérieure.

Les origines de Dragonfly

Symantec ne peut pas encore assurer les origines de Dragonfly. Certaines chaînes de code dans les logiciels malveillants sont en russe, d’autres en français. Cependant, cela pourrait aussi être une stratégie pour ne pas se faire repérer.

Ce qui est clair, d’après Symantec, c'est que Dragonfly est un acteur très expérimenté, capable de compromettre de nombreuses organisations, de voler de l'information et d'accéder aux systèmes clés. Ce que le groupe compte faire avec tout ce renseignement n'est pas encore clair.

Pour plus d’informations, le rapport de Symantec peut être consulté ici (en anglais seulement)

Source et crédit photo: Symantec