La Corée du Nord est revenue à la une des journaux avec la cybersécurité en raison de ses liens avec le groupe Lazarus alors qu'elle mène un autre cyber braquage réussi. Cette fois, le tristement célèbre groupe Lazarus, un groupe de hackers parrainé par l'État nord-coréen très suspecté et fondé entre 2007 et 2009, a volé pour 100 millions de dollars de crypto-monnaie Harmony.
Croyez-le ou non, ce n'est pas le braquage le plus célèbre de ce groupe mystérieux, car il a déjà été impliqué dans des attaques contre Sony et des virus comme WannaCry. Alors, pourquoi le groupe Lazarus connaît-il un tel succès? Découvrons ci-dessous.
Le groupe Lazarus: à quel point est-il dangereux ?
La sécurité informatique devient l'un des domaines les plus controversés de ces dernières années. Nous avons de plus en plus d'appareils connectés mais nous nous sommes peu souciés de les protéger. Et cela ne se produit pas seulement avec les utilisateurs, mais aussi avec les entreprises. C'est pourquoi les attaques sont de plus en plus fréquentes et de plus en plus puissantes.
Parmi les organisations qui attaquent les entreprises, le nom de Lazarus (parfois appelé DarkSeoul, Guardians of Peace et Hidden Cobra) a acquis une importance particulière parmi les pirates.
Ce mystérieux groupe de pirates informatiques est à l'origine de certaines des attaques informatiques les plus réussies et les plus destructrices de ces dernières années. Le National Cyber Security Center (NCSC) du Royaume-Uni, la NSA et le FBI placent ce groupe en tête de liste des entités dangereuses pour la sécurité nationale. Et ce que l'on sait peu à leur sujet, c'est que les membres sont probablement basés en Corée du Nord, le pays le plus isolé au monde.
Quelles sont certaines des attaques les plus infâmes du groupe Lazarus ?
Sa première attaque était connue sous le nom d'"Opération Flamme". Il a été réalisé en 2007 et a utilisé des logiciels malveillants de première génération contre le gouvernement sud-coréen. Puis "l'opération Troie" a suivi, qui s'est déroulée entre 2009 et 2012. Ces deux attaques étaient d'une complexité fondamentale; le groupe a supprimé les sites Web du gouvernement sud-coréen en inondant leurs serveurs de demandes.
En mars 2011, le groupe a lancé "Ten Days of Rain", qui s'est avéré être une version plus sophistiquée Attaque DDoS qui ciblait les infrastructures médiatiques, financières et critiques en Corée du Sud. Les infrastructures critiques ont toujours été une cible privilégiée pour les pirates en raison de son importance pour les activités quotidiennes.
L'attaque de Sony Pictures
La tristement célèbre attaque contre Sony Pictures a eu lieu en 2014, ce qui a amené le groupe sur la scène mondiale. Pendant un temps, cette attaque a été considérée comme l'une des plus importantes de l'histoire de la cybercriminalité.
Au cours de l'attaque, le groupe Lazarus a volé des informations confidentielles à l'entreprise, a exposé correspondance confidentielle entre les niveaux de direction, de production et d'acteur, et même fuite films inédits. Les attaques ont été lancées en représailles à la sortie du film "The Interview", qui dépeint Kim Jong-un de manière idiote.
Attaques contre les banques et les crypto-monnaies
En 2015, le groupe Lazarus a également commencé à attaquer des banques dans le monde entier, notamment en Équateur et au Vietnam. Il s'agissait de la Banco del Austro et de la Tien Phong Bank. En outre, il a également tenté d'attaquer des banques en Pologne, au Chili et au Mexique. En 2016, les attaques bancaires du groupe sont devenues plus sophistiquées et ont même réussi à voler 81 millions de dollars à la Banque du Bangladesh. En 2017, il a également tenté de voler 60 millions de dollars à une banque taïwanaise.
Maintenant, le groupe Lazarus se concentre sur les attaques de crypto-monnaie. L'attaque la plus importante a touché les propriétaires sud-coréens de Bitcoin et de Monero; c'est pourquoi le groupe a maintenant choisi de voler la crypto-monnaie Harmony.
Le groupe Lazarus est-il composé de hackers nord-coréens ?
Bien que cela n'ait jamais été prouvé, comme pour la plupart des cyberattaques, les experts sont très confiants que le groupe opère sous le soutien financier et à la demande du gouvernement nord-coréen. Cela expliquerait les attaques de Sony Pictures et sa fixation constante sur l'attaque des infrastructures et des institutions sud-coréennes.
La vérité est que nous savons très peu de choses sur le groupe. On ne sait pas s'ils sont nord-coréens cyber-soldats ou simplement des hackers internationaux que la Corée du Nord a embauchés; en tout cas, l'identité des membres du groupe est anonyme, bien qu'une chose soit sûre, ils travaillent en équipe très efficace.
Il y a même une théorie selon laquelle le groupe n'a rien à voir avec la Corée du Nord et que c'est simplement une façon de détourner l'attention de son origine naturelle. Dans tous les cas, il est peu probable que les États-Unis et le Royaume-Uni aient accusé la Corée du Nord des actions du groupe dans le passé.
Comment le groupe Lazarus attaque-t-il ?
Les attaques du groupe Lazarus sont passées de brutes à sophistiquées, d'attaques et de dégâts pour tirer le meilleur parti possible de chaque action. Bien que le groupe ait commencé de manière très amateur contre la Corée du Sud, il est devenu une organisation très professionnelle et dangereuse avec des objectifs monétaires plus précis.
La NSA, le FBI et même la société russe de cybersécurité Kaspersky Labs ont enquêté sur les attaques financières et le mode opératoire du groupe. Les pirates compromettent généralement un seul système au sein d'une banque d'où ils procèdent pour infiltrer l'ensemble de l'organisation.
Après l'infection initiale, le groupe a ensuite passé plusieurs semaines à enquêter sur les systèmes cibles, une tactique standard dans la cyberguerre (l'USCYBERCOM fonctionne de manière similaire). Une fois que le groupe a parfaitement cartographié l'organisation cible et recueilli suffisamment de données, il a commencé à voler de l'argent.
Alors que les attaques bancaires du groupe sont les plus notoires, ses pirates attaquent également les casinos, les entreprises de crypto-monnaie et les sociétés d'investissement. Certains de ses pays cibles préférés sont la Corée du Sud, le Mexique, le Costa Rica, le Brésil, l'Uruguay, le Chili, la Pologne, l'Inde et la Thaïlande.
En raison des famines, des sanctions et des politiques économiques défaillantes, la monnaie de la Corée du Nord a constamment chuté au cours des dernières décennies. Alors que Kim Jong-il (le père du dirigeant actuel, Kim Jong-un) s'est concentré sur la rançon du monde par des attaques et des menaces contre obtenir l'aide internationale et assouplir les sanctions, son fils a préféré réorienter l'armée et la population nord-coréennes pour générer des revenus à partir de à l'étranger.
Cela aide la Corée du Nord à obtenir des devises étrangères pour soutenir sa recherche et son développement militaires et d'armes de destruction massive et, d'une certaine manière, à renforcer sa monnaie et son économie. Il existe de nombreuses façons pour Kim Jong-un de générer des revenus à l'étranger; par exemple, il loue des Nord-Coréens comme main-d'œuvre bon marché, envoie des médecins et des conseillers militaires à l'étranger moyennant un prix, vend des armes et utilise des pirates pour voler de l'argent.
Au départ, l'armée de hackers nord-coréenne (comme on appelle parfois le groupe) effectuait principalement des opérations perturbatrices contre les ennemis de l'État. Mais lorsque Kim Jong-il est décédé en 2011, Kim Jong-un a changé de politique et les pirates ont désormais concentré leurs efforts sur le vol de banques et la création de virus rançongiciels. C'est pourquoi jusqu'en 2011, le groupe Lazarus attaquait encore les sites et les infrastructures du gouvernement sud-coréen.
Cela pourrait-il n'être que le début ?
Le groupe Lazarus est passé d'un groupe amateur à un groupe de piratage bien financé et capable parrainé par l'État. Depuis sa fondation, les attaques du groupe n'ont fait que devenir de plus en plus dévastatrices et complexes, et jusqu'à présent, personne n'a été en mesure de les persécuter. Sans répercussions et sans protection de l'État nord-coréen, il semble que ce groupe n'ait que le potentiel de croître et de devenir encore plus dangereux, mais seul le temps nous le dira.