Le Département de la Justice des Etats-Unis (DOJ) a annoncé jeudi qu’il avait déposé une plainte pénale (PDF) à l’encontre d’un programmeur soutenu par le régime nord-coréen, Park Jin Hyok, l’accusant de faire partie d’une équipe ayant lancé plusieurs cyberattaques.
Il est accusé également d’avoir mené des cyberattaques redoutables et depuis devenues célèbres, notamment celles ayant répandu mondialement le ransomware WannaCry 2.0 en 2017, ciblé Sony Pictures en 2014 et permis le cyber-braquage en 2016 de la banque centrale du Bangladesh pour un butin estimé à 81 millions de dollars (environ 70 millions €).
Au-delà de ces cyberattaques ayant fait les gros titres, la plainte encyclopédique de 127 pages détaille les autres activités malveillantes de l’équipe de cybercriminels, notamment les attaques ou les intrusions dans les secteurs du divertissement, des services financiers, de la défense, de la technologie, de la monnaie virtuelle, universitaire et de la fourniture en énergie électrique.
La plainte prétend que Park, un citoyen nord-coréen, était membre d’une équipe de hackers, sponsorisée par le gouvernement, et connue sous le nom de “Lazarus Group” et qu’il travaillait pour Chosun Expo Joint Venture (alias Korea Expo Joint Venture or “KEJV”), une société écran gouvernementale nord-coréenne servant à soutenir les cyber-actions au nom de la République Populaire Démocratique de Corée (RPDC).
Lazarus Group, également connu sous le nom de “Guardians of Peace” ou “Hidden Cobra”, est un groupe de cybercriminels bien connu. En juin 2017, l’US-CERT a pris la décision très inhabituelle d’envoyer un avertissement public sévère aux entreprises concernant le danger des cyberattaques nord-coréennes et le besoin urgent de patcher d’anciens logiciels pour pouvoir mieux se protéger.
Lazarus Group avait précisément été mentionné. L’alerte était inhabituelle en ce sens qu’elle donnait des détails, demandant aux entreprises de signaler toute activité détectée en provenance de Lazarus Group/Hidden Cobra/Guardians of Peace auprès du NCCIC (National Cybersecurity Communications & Integration Center) intégré au Department of Homeland Security américain ou auprès du FBI Cyber Watch (CyWatch).
Plus précisément, l’US-CERT a demandé aux entreprises d’être à l’affût de toute activité au niveau d’un botnet DDoS, du keylogging, d’outils d’accès à distance (RAT) et de malwares nettoyeurs de disque, ainsi que des malwares de type SMB worm, accusés d’avoir été impliqués dans les nombreuses séries d’attaques menées par WannaCry.
La plainte pénale, déposée le 8 juin devant le tribunal fédéral de Los Angeles, indique que Park a travaillé pendant plus de dix ans en tant que programmeur pour Chosun Expo Joint Venture, qui a des bureaux en Chine et en RPDC et qui est affiliée au Lab 110 : qui est d’ailleurs considéré par le Département de la Justice des Etats-Unis comme étant un élément du renseignement militaire de la RPDC.
En plus de ses activités de programmeur pour Chosun Expo, et de celles liées à des clients payants dans le monde entier, Park et son équipe auraient également passé du temps sur des campagnes de spear-phishing, des attaques de malware, de l’exfiltration de données, des escroqueries permettant de vider des comptes bancaires, de l’extorsion via des ransomwares et enfin la propagation des virus de type worm afin de créer des botnets.
La plainte s’est concentrée sur ces quatre cyberattaques majeures :
- L’attaque de novembre 2014 contre Sony Pictures Entertainment en représailles du film “The Interview“, une comédie de Seth Rogen/James Franco sur un complot visant à tuer le leader nord-coréen Kim Jong-Un. Il n’a jamais vu le jour : en effet, Sony a retiré le film après que des salles de cinéma aient reçu des menaces mentionnant spécifiquement les attaques du 11 septembre sur New York et le Pentagone. Le département de la Justice affirme que les pirates ont accédé au réseau de Sony en envoyant des malwares à ses employés, puis ont volé des données confidentielles, ont ensuite publié une quantité importante de communications embarrassantes sur WikiLeaks, ont menacé les dirigeants et les employés de Sony et endommagé des milliers d’ordinateurs. Sony a beaucoup souffert de cette attaque, et a même vu des ex-employés la poursuivre en justice pour ne pas avoir su protéger leurs données personnelles.
- Le braquage de la Bangladesh Bank. La plainte pénale prétend que Park et ses co-hackers ont accédé aux terminaux informatiques de la banque, en interface avec le système de communication SWIFT (Society for Worldwide Interbank Financial Telecommunication), après avoir compromis le réseau informatique de la banque avec des emails de spear-phishing et envoyé frauduleusement des messages authentifiés à la Federal Reserve Bank of NY pour transférer des fonds du Bangladesh vers des comptes dans d’autres pays asiatiques. Lazarus Group a également ciblé plusieurs autres banques dans divers pays entre 2015 et 2018, en utilisant des méthodes similaires et des “attaques par points d’eau”, tentant de voler au moins 1 milliard de dollars (environ 865 millions €).
- Les hackers ont attaqué des sous-traitants américains du secteur de la défense en 2016 et 2017, notamment Lockheed Martin, avec une campagne de spear-phishing. Les États-Unis déclarent que les enquêteurs ont détecté certains alias et comptes identiques à ceux utilisés dans l’attaque contre Sony et que parfois l’accès s’est fait à partir d’adresses IP nord-coréennes et contenaient un malware avec “la même table de données distincte au sein de ce dernier” et utilisé contre Sony ainsi que d’autres banques. Les emails de spear-phishing envoyés aux sous-traitants du secteur de la défense provenaient souvent de comptes de messagerie censés provenir de recruteurs mettant en concurrence les entreprises de ce secteur, selon la plainte, et certains des messages malveillants faisaient référence au système de défense antimissile Terminal High Altitude Area Defense (THAAD), déployé en Corée du Sud. “Les tentatives d’infiltration dans les systèmes informatiques de Lockheed Martin, le sous-traitant principal du système antimissile THAAD, n’ont pas abouti”, a déclaré le Département de la Justice.
- WannaCry 2.0 a infecté des centaines de milliers d’ordinateurs à travers le monde en mai 2017, causant des dommages importants, notamment la paralysie d’ordinateurs du National Health Service (NHS) au Royaume-Uni. L’équipe de Park aurait développé ce malware, en plus des deux versions antérieures du ransomware.
La plainte pénale comprend des tableaux qui présentent les attaques et les intrusions du Lazarus Group et montrent comment Park a été impliqué, y compris les comptes de messagerie et de réseaux sociaux qui sont reliés les uns aux autres et ont été utilisés pour envoyer des messages de spear-phishing, les alias et les malwares “collecteurs de comptes” utilisés pour stocker les identifiants volées, les bibliothèques de code commun des malwares, les services proxy utilisés pour masquer des emplacements, et enfin les adresses IP nord-coréennes, chinoises et autres. Les États-Unis affirment qu’une partie de l’infrastructure du groupe a été utilisée à plusieurs reprises lors de leur cyber-pillage.
Le procureur général adjoint Demers a déclaré dans un communiqué que l’ampleur et la portée des cyber-crimes décrits dans la plainte étaient “stupéfiants et agressifs pour tous ceux qui respectent l’état de droit et les cyber-normes acceptées par les pays responsables”.
La plainte prétend que le gouvernement nord-coréen, par l’intermédiaire d’un groupe sponsorisé par l’État, a volé une banque centrale et des citoyens d’autres pays, est parti en guerre contre la liberté d’expression afin de l’étouffer de l’autre côté du globe, a créé un malware fortement pertrubateur qui a touché, sans distinction, des victimes dans plus de 150 autres pays, causant des centaines de millions, voire des milliards de dollars de dégâts. Les enquêtes, poursuites et autres tentatives pour entraver des cyber-activités malveillantes figurent parmi les plus hautes priorités de la National Security Division et je remercie les agents du FBI, les procureurs du Département de la Justice et les partenaires internationaux qui ont consacré des années d’efforts à cette enquête.
Quant à ce qui se passera ensuite, nous devrons être patients et attendre.
Billet inspiré de North Korean programmer charged for Sony, WannaCry attacks and more, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.