Des hackers nord-coréens démasqués après une erreur opérationnelle

0
450

Les chercheurs de WithSecure™ ont établi le lien entre une série d’attaques et le groupe nord-coréen Lazarus. Grâce en partie à une erreur de sécurité opérationnelle commise par les hackers, les chercheurs en sécurité de WithSecure™ (anciennement connu sous le nom de F-Secure Business) ont pu établir un lien entre une série de cyberattaques et le célèbre groupe Lazarus originaire de Corée du Nord.

Tribune – Lazarus est un groupe APT (Advanced Persistent Threat) souvent considéré comme appartenant au bureau des renseignements extérieurs de la Corée du Nord. Les chercheurs ont révélé une nouvelle campagne de ce groupe, après une suspicion de ransomware dans une organisation protégée par la plateforme de sécurité WithSecure™ Elements 

Au cours de leur enquête, les chercheurs de WithSecure™ ont identifié plusieurs indices indiquant que l’attaque faisait partie d’une campagne plus vaste de collecte de renseignements, plutôt que d’un incident de ransomware.  

Sur la base des indices recueillis, les chercheurs ont pu établir un lien entre la campagne en question et le groupe Lazarus. Ce groupe ciblait des centres de recherche médicale et des entreprises du secteur énergétique, à des fins d’espionnage.  

Les chercheurs ont pu identifier plusieurs cibles de cette campagne de hacking, notamment : un organisme de recherche médicale, un producteur de technologies utilisées dans plusieurs secteurs (énergie, recherche, défense, santé), et le département d’ingénierie chimique d’une grande université de recherche. 

« Nous soupçonnions au départ une tentative d’attaque par ransomware BianLian, mais les éléments que nous avons recueillis ont rapidement pointé dans une autre direction. Plus nous avons recueilli de preuves, plus nous avons été convaincus que l’attaque était menée par un groupe lié au gouvernement nord-coréen. Nous avons finalement pu conclure en toute confiance qu’il s’agissait du groupe Lazarus », a déclaré Sami Ruohonen, Senior Threat Intelligence Researcher chez WithSecure™.  

« Au cours de notre enquête, nous avons constaté qu’il ne s’agissait pas d’un incident isolé, mais d’une campagne plus vaste au ciblage élargi. Il est très inhabituel de pouvoir attribuer une campagne aussi clairement à un groupe de hackers », ajoute Stephen Robinson, Senior Threat Intelligence Analyst chez WithSecure™.  

Les chercheurs de WithSecure™ ont pu relier la campagne au groupe Lazarus en se basant sur les tactiques, techniques et procédures utilisées dans des attaques précédentes menées par Lazarus ou d’autres groupes associés à la Corée du Nord. 

Les chercheurs ont toutefois constaté plusieurs évolutions notables par rapport aux activités précédentes du Groupe Lazarus : 

  • L’utilisation d’une nouvelle infrastructure, avec le recours exclusif à des adresses IP sans noms de domaine (en rupture avec les attaques précédentes). 
  • Une version modifiée du malware voleur d’informations Dtrack, utilisé par Lazarus Group et Kimsuky (un autre groupe associé à la Corée du Nord) lors d’attaques précédentes. 
  • Une nouvelle version du malware GREASE, utilisé pour créer de nouveaux comptes administrateurs avec des privilèges de protocole de bureau à distance, pour contourner les firewalls. 

Les chercheurs ont relevé un indice décisif : sur les milliers d’adresses IP utilisées, l’une d’entre elles appartenait à la Corée du Nord, et cette IP s’est connectée un bref instant à un webshell contrôlé par les hackers. C’est ce qui a conduit les chercheurs à soupçonner une erreur manuelle commise par un membre du groupe. 

Pour autant, comme le souligne Tim West, Head of Threat Intelligence chez WithSecure, ce type d’erreur ne doit pas inciter à baisser la garde. 

« Malgré certains échecs opsec, le groupe a fait preuve d’un bon tradecraft et est parvenu à effectuer des actions réfléchies sur des endpoints soigneusement sélectionnés. Même avec des technologies de détection endpoints précises, les entreprises ne doivent pas relâcher leur vigilance pour répondre efficacement aux alertes et intégrer les renseignements sur les menaces. Elles doivent mener un Threat Hunting régulier pour rester protégées contre les hackers les plus redoutables », conclut-il. 

Pour consulter l’étude dans son intégralité, rendez-vous sur https://labs.withsecure.com/publications/No-Pineapple-DPRK-Targeting-of-Medical-Research-and-Technology-Sector