Le piratage de l’AP-HP à Paris, en plein épisode de coronavirus, rappelle l’une des lois les plus âpres de la cybercriminalité : comme dans la nature, les cyberattaquants privilégient toujours le maillon le plus faible ou le plus fragile. Or, si ces crimes alimentent l’imaginaire du cyberdélinquant à la capuche, nos responsables politiques feraient bien de se rappeler que certaines nations sont devenues spécialistes des cyberattaques dans un but spécifiquement financier, à l’image de la Corée du Nord.
Avec une des architectures réseau parmi les plus vétustes au monde et un accès à Internet limité à un petit groupe de “selected few”, la Corée du Nord ne s’impose naturellement pas de soi, auprès du grand public, comme une puissance militaire cyber-offensive. Pourtant, depuis les cyberattaques de Sony, de WannaCry ou encore l’opération Dark Seoul, l’Occident ne peut plus raisonnablement ignorer le poids de Pyongang sur la scène internationale.
Disposant d’une doctrine militaire cohérente dans le cyberespace, le “pays du secret” a ainsi développé une stratégie reposant sur trois piliers : les cyberattaques dans un but de profit financier, le cyberespionnage contre les pays ennemis, Corée du Sud en tête, mais aussi les pays avec lesquels la corée du nord entretient des contrats commerciaux et enfin le sabotage et l’activisme digital.
Loin de la sphère d’influence française, la Corée du Nord n’en demeure pas moins une menace potentielle pour des raisons financières, ou simplement comme agresseur opportuniste dans le cadre d’une cyberattaque massive.
Lazarus: trois groupes en un
Les premières traces répertoriées de l’activité de Lazarus remontent en 2007. Depuis des années, le groupe, officiant sous différents noms, multiplie les actes de vandalisme et de “cyberterrorisme”, un mélange d’attaque par déni de service, de piratage et de destruction de données. Mais il faut attendre 2016 pour que ce groupe soit clairement identifié par le rapport Novetta, dévoilant les coulisses de l’opération Blockbuster – du nom de l’opération de piratage de Sony, en représailles à la sortie du film parodique sur Kim Jung-Un, “The Interview”.
Les informations du rapport Novetta, Lexfo a permis d’identifier des signatures et des modes opératoires propres au régime nord-coréen. Au total, nous avons identifié plus de 45 malwares domestiques développés par Pyongang. Loin de la seule activité de vandalisme et de cyberterrorisme, ces malwares nous renseignent sur le large éventail d’activités de cet APT. Lazarus représente en réalité le “coeur” du groupe, en charge des cyberattaques. Il est aussi secondé de deux autres sous-groupes : Andariel, dont la mission est principalement l’espionnage, et Bluenoroff, dont la mission est le crime financier de grande ampleur. L’objectif ? Combattre les sanctions économiques à travers le cyberespace.
Follow the malware
Car la Corée du Nord est aujourd’hui bien implantée dans le commerce interlope du piratage de données bancaires et financières. Depuis la mise en place des sanctions, en 2016, certains sous-groupes jusqu’alors consacrés au cyberespionnage ont même changé de cibles. Ainsi, Andarial effectue désormais des attaques contre les guichets ATM, tandis que Blueonroff vise généralement les banques et les crimes de haute volée, contre une majorité d’entreprises de défense auparavant. Ces cinq dernières années, Blueonroff a d’ailleurs pris le contrôle de près d’une vingtaine de banques polonaises. Parallèlement, le piratage de cartes de crédit (ou “skimming”) fait aussi partie des techniques prisée par Lazarus qui, en 2015, avait réussi à dérober plus de 230 000 données bancaires uniques.
Il est parfois difficile de remonter jusqu’à la Corée du Nord. A la manière de capitaux illégaux dans les paradis fiscaux, Lazarus dissimule ses attaques derrière de nombreux écrans de fumée techniques, mais aussi des “false flags”, des marqueurs visant à faire attribuer à d’autres ses attaques. En intégrant des bouts de code russe ou en favorisant l’utilisation de malwares prisés par le cybercrime russe, Pyongyang veut sciemment faire accuser la Russie, souvent la suspecte idéale dans les piratages à grande échelle.
La Corée du Nord est aussi fréquemment confondue avec les pirates chinois, le pays du secret ayant en grande partie copié ses infrastructures sur son voisin.
Toutefois, ces tentatives parfois malhabiles de dissimuler ses traces ont fini par donner une signature particulière aux attaques des Nord-coréens, pot-pourri entre cyberarmes chinoises et russes. En outre, en souhaitant se faire passer pour russes, les hackers nord-coréens utilisent des phrases traduites en un russe approximatif qui ne résistent pas à l’examen d’un natif. Les horaires de travail, les méthodes d’attaques (spear phishing, watering holes) et les cibles utilisées achèvent de pointer, en général, en direction d’attaquants nord-coréens.
Pour toutes ces raisons, il est possible, comme dans le cadre d’enquêtes financières, de “suivre le malware”, jusqu’à attribuer avec un bon pourcentage de certitude le lien avec la Corée du Nord.
Menaces pour les pays occidentaux
Pour les dirigeants de nos grandes entreprises et responsables politiques, la tentation serait grande de penser que la Corée du Nord est une menace éloignée. Or, si cette dernière ne fait pas partie de notre “arc stratégique” (qui s’étend traditionnellement de l’Afrique de l’Ouest au Moyen-Orient), elle n’en demeure pas moins un danger de tous les instants. Le suivi de ces malwares “maison” démontre qu’au-delà de la seule logique géopolitique, les cyberattaques menées par le régime de Pyongyang sont surtout mues par l’opportunisme, qu’il soit financier ou stratégique, et ne connaissent pas de frontières. Raison pour laquelle l’ONU estime à plus de deux milliards de dollars les revenus annuels que la Corée du Nord tire de ces attaques informatiques.
Ce qui nous ramène à la loi du maillon le plus faible. Depuis longtemps intégrée par les professionnels de la cybersécurité, cette loi s’applique désormais à tous les acteurs, privés ou public, sans discrimination de nature. La crise politique et sanitaire dans laquelle nous pousse la pandémie du Covid-19 n’est pas seulement un révélateur des faiblesses de notre démocratie : elle est aussi un accélérateur de vulnérabilités que des individus aux intentions malveillantes peuvent exploiter. L’explosion de la cybercriminalité et le piratage de l’hôpital de Paris nous le montrent. Il a déjà été établi que la Corée du Nord a déjà utilisé le prétexte du coronavirus pour tenter de pirater des officiels sud-coréens. Il serait naïf de croire qu’elle s’en arrêtera là.
Retrouvez le rapport sur les cyberarmes de l’APT Lazarus sur le blog de Lexfo.
