par Camille Hamet | 0 min | 26 février 2018

Hermit

Le 12 mai 2017, 300 000 ordi­­na­­teurs sont infec­­tés par le virus WannaCry. Celui-ci réalise un chif­­fre­­ment des données person­­nelles en exploi­­tant une faille de sécu­­rité des systèmes d’ex­­ploi­­ta­­tion de Micro­­soft les plus anciens, et exige une rançon en bitcoins pour leur déchif­­fre­­ment. Autre­­ment dit, WannaCry prend les données person­­nelles en otages. Mais pas n’im­­porte lesquelles : des hôpi­­taux britan­­niques au construc­­teur français Renault en passant par des minis­­tères russes, des milliers d’en­­tre­­prises et d’or­­ga­­ni­­sa­­tions sont touchées dans le monde.

Crédits : Martyn Williams/CC BY-SA 2.5

Dix jours plus tard, le 22 mai 2017, cette cybe­­rat­­taque est attri­­buée à un groupe de hackers nord-coréens par l’en­­tre­­prise de sécu­­rité infor­­ma­­tique FireEye : le groupe Hermit, égale­­ment connu sous le nom de Laza­­rus. « Alors que nous n’avons pas véri­­fié l’ob­­ser­­va­­tion par d’autres experts des outils RPDC connus, utili­­sés pour suppri­­mer les premières versions de WannaCry, nous n’avons pas observé d’autres groupes utili­­ser le code présent dans [WannaCry] et nous pensons qu’il n’est pas dispo­­nible en open source », explique alors son analyste Ben Read avant de conclure : « Cela indique une connexion entre les deux. »

Actif depuis 2009, Hermit a accédé à la célé­­brité en 2014 avec le pira­­tage infor­­ma­­tique du produc­­teur et distri­­bu­­teur de films améri­­cain Sony Pictures Enter­­tain­­ment. Le 24 novembre au matin, la moitié de ses employés découvrent un ulti­­ma­­tum signé « GOP », pour Guar­­dians of Peace, en allu­­mant leur ordi­­na­­teur : « Nous avons obtenu toutes vos données. Si vous ne nous obéis­­sez pas, nous les publie­­rons à 23 h 00 GMT. »

Les hackers espèrent ainsi obte­­nir l’an­­nu­­la­­tion de la sortie du film The Inter­­view, qu’ils jugent « insul­­tant » pour le dicta­­teur nord-coréen Kim Jong-un. Et de fait, le film ne béné­­fi­­ciera que d’une distri­­bu­­tion limi­­tée au cinéma, dans envi­­ron 300 salles indé­­pen­­dantes. D’autres, tels que Fury et Annie, seront mis en ligne plusieurs jours avant leur sortie. Des emails extrê­­me­­ment embar­­ras­­sants pour Sony Pictures Enter­­tain­­ment seront égale­­ment publiés. Au total, la facture du pira­­tage sera esti­­mée à plus de 30 millions de dollars.

Hermit a ensuite assis sa noto­­riété en déro­­bant 81 millions de dollars à la Banque centrale du Bangla­­desh en février 2016. Sans creu­­ser le moindre tunnel, ni faire explo­­ser le moindre bâton de dyna­­mite. Le groupe a simple­­ment profité d’un manque de commu­­ni­­ca­­tion entre la Banque centrale du Bangla­­desh et la Banque centrale des États-Unis (Fed), où la première détient un compte. Il y a envoyé plus de trente demandes de trans­­ferts vers d’autres comptes, aux Philip­­pines et au Sri Lanka, et la Fed a commencé par obtem­­pé­­rer, les codes utili­­sés au sein de la messa­­ge­­rie bancaire inter­­­na­­tio­­nale (SWIFT) étant corrects et les serveurs appa­­rem­­ment basés au Bangla­­desh.

Ce n’est que lors de la cinquième demande que la Fed a mis fin aux trans­­ferts, après avoir repéré une erreur dans le message. Les hackers avaient mal ortho­­gra­­phié le nom du desti­­na­­taire : la Shalika Foun­­da­­tion, et non la « Shalika Fanda­­tion ».

Reaper

Mais aujourd’­­hui, c’est un autre groupe de pirates nord-coréens qui inquiète FireEye : le groupe Reaper, qu’il a récem­­ment rebap­­tisé APT37. Et pour cause : selon l’en­­tre­­prise de sécu­­rité infor­­ma­­tique améri­­caine, il appar­­tient désor­­mais à la caté­­go­­rie des groupes de hackers les plus avan­­cés tech­­nique­­ment, et donc les plus menaçants, la caté­­go­­rie « APT » pour « Advan­­ced Persis­­tant Threat », soit « menace persis­­tante avan­­cée ». Cette caté­­go­­rie a été créée en 2013 par FireEye, qui expliquait alors que les pirates attaquant des jour­­naux améri­­cains, des agences gouver­­ne­­men­­tales et des entre­­prises « étaient basés prin­­ci­­pa­­le­­ment en Chine ». C’est la première fois que des pirates nord-coréens y figurent.

« L’exa­­men récent des acti­­vi­­tés de ce groupe par FireEye révèle qu’APT37 a étendu le champ de ses opéra­­tions en termes de géogra­­phie et de sophis­­ti­­ca­­tion », justi­­fie l’en­­tre­­prise dans un rapport publié le 20 février dernier. Et de fait, ce groupe, qui est actif depuis 2012, a d’abord attaqué les secteurs du gouver­­ne­­ment, de l’ar­­mée, de l’in­­dus­­trie de la défense et des médias en Corée du Sud avant de viser des secteurs allant de la chimie aux télé­­com­­mu­­ni­­ca­­tions, au Japon, au Viet­­nam et au Moyen-Orient. Il a par exemple utilisé une lettre de liqui­­da­­tion bancaire comme leurre auprès d’un membre du conseil d’ad­­mi­­nis­­tra­­tion d’une société finan­­cière en mai 2017.

« L’e-mail spécia­­le­­ment conçu incluait une pièce jointe conte­­nant le code d’ex­­ploi­­ta­­tion CVE-2017–0199, une vulné­­ra­­bi­­lité de Micro­­soft Office qui avait été divul­­guée un mois plus tôt seule­­ment », détaille le rapport de FireEye. « Une fois ouvert, le docu­­ment malveillant s’est mis à commu­­niquer avec un site Inter­­net compro­­mis, vrai­­sem­­bla­­ble­­ment pour subrep­­ti­­ce­­ment télé­­char­­ger et instal­­ler une back­­door appe­­lée SHUTTERSPEED (…). Cet outil a permis à APT37 de collec­­ter des infor­­ma­­tions sur le système, de prendre des captures d’écran et de télé­­char­­ger des fichiers malveillants supplé­­men­­taires sur l’or­­di­­na­­teur de la victime. »

L’évo­­lu­­tion dans le choix des cibles de Reaper témoigne d’ « un glis­­se­­ment d’in­­té­­rêts poli­­tiques vers des inté­­rêts écono­­miques » selon le direc­­teur tech­­nique de FireEye en Europe du Sud, David Grout. « Quant à son évolu­­tion tech­­nique, elle montre qu’il s’agit d’un groupe qui béné­­fi­­cie de moyens humains et finan­­ciers vrai­­sem­­bla­­ble­­ment impor­­tants », affirme-t-il.

« Son mode opéra­­toire est simple : il épluche quoti­­dien­­ne­­ment la presse spécia­­li­­sée, à la recherche de signa­­le­­ments de failles dans les systèmes d’ex­­ploi­­ta­­tions, sachant qu’il dispo­­sera alors de quelques jours pour écrire le code malveillant adéquat, avant que l’édi­­teur du système en ques­­tion ne répare sa faille. Il a ainsi créé 14 malwares. Le nombre 14 est d’ailleurs son nombre fétiche. Une force qui est aussi une faiblesse, car le nombre 14 est la signa­­ture qui nous permet de remon­­ter jusqu’à Reaper. Tout comme sa tech­­nique d’anti-inves­­ti­­ga­­tion : la destruc­­tion des infor­­ma­­tions. »

Crédits : FireEye

Le programme

D’après David Grout, il existe une ving­­taine de groupes simi­­laires à Hermit et Reaper en Corée du Nord. Et des milliers de hackers. Le régime a toujours nié toute impli­­ca­­tion dans leurs opéra­­tions, à commen­­cer par celle du virus WannaCry. Après avoir été pointé du doigt par le ministre britan­­nique de la Sécu­­rité et des crimes écono­­miques, Ben Wallace, en octobre 2017, il a dénoncé des « spécu­­la­­tions sans fonde­­ment » dans un commu­­niqué diffusé auprès de l’agence centrale de presse nord-coréenne (KCNA) : « La tactique du gouver­­ne­­ment britan­­nique qui consiste à asso­­cier caté­­go­­rique­­ment la Répu­­blique démo­­cra­­tique popu­­laire de Corée à cette cybe­­rat­­taque ne peut être inter­­­pré­­tée autre­­ment que comme une autre tenta­­tive malfai­­sante de leur­­rer la commu­­nauté inter­­­na­­tio­­nale afin qu’elle ait encore moins confiance vis-à-vis de la Répu­­blique popu­­laire démo­­cra­­tique de Corée. »

Mais comme le souligne David Grout, « aucun groupe de hackers ne peut opérer dans ce pays sans l’ac­­cord du régime, dans la mesure où ce dernier contrôle toutes les infra­s­truc­­tures néces­­saires aux cybe­­rat­­taques, telles que les sorties Inter­­net ». « Nous pouvons donc affir­­mer avec certi­­tude que ces groupes sont liés au régime nord-coréen », ajoute-t-il. « La seule ques­­tion qui subsiste concerne leur niveau d’in­­té­­gra­­tion : soit les pirates font carré­­ment partie d’un cabi­­net ratta­­ché au gouver­­ne­­ment, soit le gouver­­ne­­ment finance les pirates, soit il se contente de leur donner sa béné­­dic­­tion. »

C’est Kim Jong-il qui, le premier, a créé une unité gouver­­ne­­men­­tale dédiée au pira­­tage en Corée du Nord. Elle n’ef­­fec­­tuait alors que des attaques aléa­­toires, sur des cibles rela­­ti­­ve­­ment modestes, telles que des sites gouver­­ne­­men­­taux et des réseaux bancaires. Puis le succes­­seur de Kim Jong-il, Kim Jong-un, a déve­­loppé le programme afin de pouvoir lancer des attaques plus systé­­ma­­tiques sur des cibles plus impor­­tantes, telles que des centrales nucléaires, des réseaux de défense et des insti­­tu­­tions finan­­cières.

« Les pirates nord-coréens doivent être pris au sérieux. »

Aujourd’­­hui, sa nébu­­leuse cybe­­rar­­mée lui sert notam­­ment à renflouer des caisses vidées par les sanc­­tions écono­­miques inter­­­na­­tio­­nales. D’où son inté­­rêt pour les bitcoins, qui ont vu leur valeur multi­­pliée par quatre en 2017. Mais à en croire David Grout, cette armée ne doit pas être perçue comme une simple version tech­­no­­lo­­gique des efforts que Pyon­­gyang mène depuis des décen­­nies pour pallier sa mise au ban de la commu­­nauté inter­­­na­­tio­­nale, en tissant par exemple un réseau mondial de restau­­rants dont les recettes sont en grande partie rever­­sées à l’État.

« Les pirates nord-coréens doivent être pris au sérieux », affirme-t-il. « Ils sont encore plus agres­­sifs que les pirates chinois, qui se sont pour­­tant montrés redou­­tables dans l’es­­pion­­nage indus­­triel. À chaque fois que ce pays annonce une grande avan­­cée tech­­no­­lo­­gique, que ce soit dans le domaine des trans­­ports ou de l’éner­­gie, nous voyons un paral­­lèle avec les attaques menées par des groupes de pirates basés en Chine. »

La Corée du Nord est par ailleurs connue pour son programme de déve­­lop­­pe­­ment nucléaire mili­­taire. Et il n’est pas exclu que l’argent récolté par ses pirates ne servent à le finan­­cer. Qu’il soit virtuel ou non.


Couver­­ture : Kim Jong-un entouré de ses géné­­raux. (KCNA)


Down­load WordP­ress Themes Free
Free Down­load WordP­ress Themes
Down­load Nulled WordP­ress Themes
Down­load WordP­ress Themes Free
free online course
Premium WordPress Themes Download
Download Premium WordPress Themes Free
Premium WordPress Themes Download
Free Download WordPress Themes
free download udemy paid course

Plus de monde