Selon le rapport publié par IssueMakersLab, l’institut de recherche sud-coréen pour l’énergie atomique, le KAERI (Korea Atomic Energy Research Institute), aurait été victime d’une cyberattaque. Les experts en cybersécurité affirment que les hackers sont originaires de la Corée du Nord. Des membres du gouvernement sud-coréen ont reconnu que le think tank nucléaire gouvernemental a bien été piraté en mai 2021 par des pirates informatiques opérant pour Kimsuky.

Le KAERI, institut nucléaire sud-coréen, victime d’une cyberattaque

L’attaque sur le le Korea Atomic Energy Research Institute se serait produite le 14 mai 2021. Les hackers du groupe Kimsuky ne sont pas des débutants pour les experts en cybersécurité qui scrutent le web depuis des années. Ces pirates informatiques sont bien connus et identifiés comme étant affiliés à la Corée du Nord. Le pays est connu pour ses attaques régulières, comme récemment sur 28 membres de l’ONU. Selon la CISA (Cybersecurity and Infrastructure Security Agency), le groupe de hackers serait à la disposition du gouvernement nord-coréen pour collecter des renseignements à l’échelle mondiale, et cela depuis 2012.

Le cybergang Kimsuky, qui se fait aussi appeler Velvet Chollima, Black Banshee et Thallium, serait aussi responsable de nombreuses cyberattaques à l’aide de logiciels malveillants. Les hackers auraient notamment ciblé par le passé des chercheurs sud-coréens spécialistes du vaccin contre le Covid-19 et déjà, des chercheurs spécialisés dans les réacteurs nucléaires. Le plus souvent, le groupe utilise le phishing pour imiter les pratiques de certaines plateformes, comme GMail, Outlook, ou encore Telegram.

La face immergée d’une vaste opération en cours ?

Dans un communiqué officiel, le ministère coréen des sciences et des technologies de l’information a déclaré qu’une vulnérabilité dans un VPN utilisé par KAERI aurait pu permettre aux hackers d’accéder à l’un des serveurs de l’agence. L’institut nucléaire sud-coréen n’aurait découvert l’attaque que le 31 mai, deux semaines après l’intrusion… Au moment de cette découverte, les hackers éthiques de l’institut ont pris des mesures pour bloquer les adresses IP et installer des correctifs de sécurité.

Les infrastructures de KAERI ont vraisemblablement été violées à l’aide d’une adresse électronique d’un ancien conseiller du président Moon Jae-in, Moon Chung-in, dont les identifiants ont été volés au cours d’une cyberattaque en 2018, déjà attribuée à Kimsuky. Selon les autorités locales, l’attaque contre l’institut nucléaire sud-coréen pourrait faire partie d’une grande campagne de cyberattaque toujours en cours. Au début du mois, plusieurs attaques contre des universités et des entreprises de Corée du Sud ont été signalées. Elles ont toutes été attribuées à Kimsuky.