Hermit

Le 12 mai 2017, 300 000 ordinateurs sont infectés par le virus WannaCry. Celui-ci réalise un chiffrement des données personnelles en exploitant une faille de sécurité des systèmes d’exploitation de Microsoft les plus anciens, et exige une rançon en bitcoins pour leur déchiffrement. Autrement dit, WannaCry prend les données personnelles en otages. Mais pas n’importe lesquelles : des hôpitaux britanniques au constructeur français Renault en passant par des ministères russes, des milliers d’entreprises et d’organisations sont touchées dans le monde.

Crédits : Martyn Williams/CC BY-SA 2.5

Dix jours plus tard, le 22 mai 2017, cette cyberattaque est attribuée à un groupe de hackers nord-coréens par l’entreprise de sécurité informatique FireEye : le groupe Hermit, également connu sous le nom de Lazarus. « Alors que nous n’avons pas vérifié l’observation par d’autres experts des outils RPDC connus, utilisés pour supprimer les premières versions de WannaCry, nous n’avons pas observé d’autres groupes utiliser le code présent dans [WannaCry] et nous pensons qu’il n’est pas disponible en open source », explique alors son analyste Ben Read avant de conclure : « Cela indique une connexion entre les deux. »

Actif depuis 2009, Hermit a accédé à la célébrité en 2014 avec le piratage informatique du producteur et distributeur de films américain Sony Pictures Entertainment. Le 24 novembre au matin, la moitié de ses employés découvrent un ultimatum signé « GOP », pour Guardians of Peace, en allumant leur ordinateur : « Nous avons obtenu toutes vos données. Si vous ne nous obéissez pas, nous les publierons à 23 h 00 GMT. »

Les hackers espèrent ainsi obtenir l’annulation de la sortie du film The Interview, qu’ils jugent « insultant » pour le dictateur nord-coréen Kim Jong-un. Et de fait, le film ne bénéficiera que d’une distribution limitée au cinéma, dans environ 300 salles indépendantes. D’autres, tels que Fury et Annie, seront mis en ligne plusieurs jours avant leur sortie. Des emails extrêmement embarrassants pour Sony Pictures Entertainment seront également publiés. Au total, la facture du piratage sera estimée à plus de 30 millions de dollars.

Hermit a ensuite assis sa notoriété en dérobant 81 millions de dollars à la Banque centrale du Bangladesh en février 2016. Sans creuser le moindre tunnel, ni faire exploser le moindre bâton de dynamite. Le groupe a simplement profité d’un manque de communication entre la Banque centrale du Bangladesh et la Banque centrale des États-Unis (Fed), où la première détient un compte. Il y a envoyé plus de trente demandes de transferts vers d’autres comptes, aux Philippines et au Sri Lanka, et la Fed a commencé par obtempérer, les codes utilisés au sein de la messagerie bancaire internationale (SWIFT) étant corrects et les serveurs apparemment basés au Bangladesh.

Ce n’est que lors de la cinquième demande que la Fed a mis fin aux transferts, après avoir repéré une erreur dans le message. Les hackers avaient mal orthographié le nom du destinataire : la Shalika Foundation, et non la « Shalika Fandation ».

Reaper

Mais aujourd’hui, c’est un autre groupe de pirates nord-coréens qui inquiète FireEye : le groupe Reaper, qu’il a récemment rebaptisé APT37. Et pour cause : selon l’entreprise de sécurité informatique américaine, il appartient désormais à la catégorie des groupes de hackers les plus avancés techniquement, et donc les plus menaçants, la catégorie « APT » pour « Advanced Persistant Threat », soit « menace persistante avancée ». Cette catégorie a été créée en 2013 par FireEye, qui expliquait alors que les pirates attaquant des journaux américains, des agences gouvernementales et des entreprises « étaient basés principalement en Chine ». C’est la première fois que des pirates nord-coréens y figurent.

« L’examen récent des activités de ce groupe par FireEye révèle qu’APT37 a étendu le champ de ses opérations en termes de géographie et de sophistication », justifie l’entreprise dans un rapport publié le 20 février dernier. Et de fait, ce groupe, qui est actif depuis 2012, a d’abord attaqué les secteurs du gouvernement, de l’armée, de l’industrie de la défense et des médias en Corée du Sud avant de viser des secteurs allant de la chimie aux télécommunications, au Japon, au Vietnam et au Moyen-Orient. Il a par exemple utilisé une lettre de liquidation bancaire comme leurre auprès d’un membre du conseil d’administration d’une société financière en mai 2017.

« L’e-mail spécialement conçu incluait une pièce jointe contenant le code d’exploitation CVE-2017-0199, une vulnérabilité de Microsoft Office qui avait été divulguée un mois plus tôt seulement », détaille le rapport de FireEye. « Une fois ouvert, le document malveillant s’est mis à communiquer avec un site Internet compromis, vraisemblablement pour subrepticement télécharger et installer une backdoor appelée SHUTTERSPEED (…). Cet outil a permis à APT37 de collecter des informations sur le système, de prendre des captures d’écran et de télécharger des fichiers malveillants supplémentaires sur l’ordinateur de la victime. »

L’évolution dans le choix des cibles de Reaper témoigne d’ « un glissement d’intérêts politiques vers des intérêts économiques » selon le directeur technique de FireEye en Europe du Sud, David Grout. « Quant à son évolution technique, elle montre qu’il s’agit d’un groupe qui bénéficie de moyens humains et financiers vraisemblablement importants », affirme-t-il.

« Son mode opératoire est simple : il épluche quotidiennement la presse spécialisée, à la recherche de signalements de failles dans les systèmes d’exploitations, sachant qu’il disposera alors de quelques jours pour écrire le code malveillant adéquat, avant que l’éditeur du système en question ne répare sa faille. Il a ainsi créé 14 malwares. Le nombre 14 est d’ailleurs son nombre fétiche. Une force qui est aussi une faiblesse, car le nombre 14 est la signature qui nous permet de remonter jusqu’à Reaper. Tout comme sa technique d’anti-investigation : la destruction des informations. »

Crédits : FireEye

Le programme

D’après David Grout, il existe une vingtaine de groupes similaires à Hermit et Reaper en Corée du Nord. Et des milliers de hackers. Le régime a toujours nié toute implication dans leurs opérations, à commencer par celle du virus WannaCry. Après avoir été pointé du doigt par le ministre britannique de la Sécurité et des crimes économiques, Ben Wallace, en octobre 2017, il a dénoncé des « spéculations sans fondement » dans un communiqué diffusé auprès de l’agence centrale de presse nord-coréenne (KCNA) : « La tactique du gouvernement britannique qui consiste à associer catégoriquement la République démocratique populaire de Corée à cette cyberattaque ne peut être interprétée autrement que comme une autre tentative malfaisante de leurrer la communauté internationale afin qu’elle ait encore moins confiance vis-à-vis de la République populaire démocratique de Corée. »

Mais comme le souligne David Grout, « aucun groupe de hackers ne peut opérer dans ce pays sans l’accord du régime, dans la mesure où ce dernier contrôle toutes les infrastructures nécessaires aux cyberattaques, telles que les sorties Internet ». « Nous pouvons donc affirmer avec certitude que ces groupes sont liés au régime nord-coréen », ajoute-t-il. « La seule question qui subsiste concerne leur niveau d’intégration : soit les pirates font carrément partie d’un cabinet rattaché au gouvernement, soit le gouvernement finance les pirates, soit il se contente de leur donner sa bénédiction. »

C’est Kim Jong-il qui, le premier, a créé une unité gouvernementale dédiée au piratage en Corée du Nord. Elle n’effectuait alors que des attaques aléatoires, sur des cibles relativement modestes, telles que des sites gouvernementaux et des réseaux bancaires. Puis le successeur de Kim Jong-il, Kim Jong-un, a développé le programme afin de pouvoir lancer des attaques plus systématiques sur des cibles plus importantes, telles que des centrales nucléaires, des réseaux de défense et des institutions financières.

« Les pirates nord-coréens doivent être pris au sérieux. »

Aujourd’hui, sa nébuleuse cyberarmée lui sert notamment à renflouer des caisses vidées par les sanctions économiques internationales. D’où son intérêt pour les bitcoins, qui ont vu leur valeur multipliée par quatre en 2017. Mais à en croire David Grout, cette armée ne doit pas être perçue comme une simple version technologique des efforts que Pyongyang mène depuis des décennies pour pallier sa mise au ban de la communauté internationale, en tissant par exemple un réseau mondial de restaurants dont les recettes sont en grande partie reversées à l’État.

« Les pirates nord-coréens doivent être pris au sérieux », affirme-t-il. « Ils sont encore plus agressifs que les pirates chinois, qui se sont pourtant montrés redoutables dans l’espionnage industriel. À chaque fois que ce pays annonce une grande avancée technologique, que ce soit dans le domaine des transports ou de l’énergie, nous voyons un parallèle avec les attaques menées par des groupes de pirates basés en Chine. »

La Corée du Nord est par ailleurs connue pour son programme de développement nucléaire militaire. Et il n’est pas exclu que l’argent récolté par ses pirates ne servent à le financer. Qu’il soit virtuel ou non.

Couverture : Kim Jong-un entouré de ses généraux. (KCNA)