Cisco Talos, une société spécialisée dans le renseignement des menaces informatiques, a révélé, le 8 septembre, que des fournisseurs d’énergie situés aux États-Unis, au Canada et au Japon avaient été la cible de cyberattaques entre février et juillet dernier. Elle attribue ces actions au groupe de hackers nord-coréens Lazarus, des pirates soutenus par Pyongyang, célèbres pour avoir piraté Sony Pictures en 2014.
Un nouveau malware découvert
Les chercheurs de Cisco Talos ont établi que Lazarus aurait utilisé la faille Log4Shell, présente dans le logiciel Log4j depuis plus d’un an. Ils en auraient profité pour compromettre les serveurs VMware Horizon, qui offrent des environnements de travail virtuels par le cloud, en y déployant deux logiciels malveillants, « VSingle » et « YamaBot ». Un implant de malware inconnu appelé « MagicRAT » a également été découvert.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les premiers détails de ces manœuvres d’espionnage avaient été dévoilés par Symantec, une filiale de Broadcom Software qui offre des services de protection informatiques, en avril. Elle attribuait notamment ces méfaits à Stonefly, une branche du groupe Lazarus plus connue sous les noms de Andariel, de Guardian of Peace, d’OperationTroy et de Silent Chollima.
En utilisant « VSingle », les hackers pouvaient mener plusieurs activités allant de la reconnaissance à l’exfiltration de données. Jung soo An, Asheer Malhotra et Vitor Ventura, trois chercheurs de Cisco Talos expliquent que « l’objectif principal de ces attaques était probablement d’établir un accès à long terme aux réseaux des victimes pour mener des opérations d’espionnage en accord avec les objectifs du gouvernement nord-coréen. Ces activités s’alignent sur les intrusions historiques de Lazarus qui ont ciblé des infrastructures critiques et des entreprises du secteur de l’énergie afin d’établir un accès à long terme pour siphonner la propriété intellectuelle ».
Lazarus, la menace nord-coréenne
En apportant son soutien au groupe Lazarus dans ses activités de cyberespionnage, la Corée du Nord cherche à satisfaire ses intérêts. Intéressés par le vol de propriété intellectuelle pour des fins militaires, les hackers concentrent depuis quelque temps leurs attaques sur les entreprises du secteur de la cryptomonnaie afin de se financer.
Dernièrement, les cyberpirates avaient été accusés du hack de la blockchain Harmony, siphonnant 100 millions de dollars en cryptomonnaies. Plus tôt dans l’année, ils étaient soupçonnés du vol de 625 millions de dollars en cryptomonnaies issus de la sidechain Ronin, une blockchain secondaire conçue spécialement pour supporter le jeu « Play To Earn » Axie Infinity.
Ce genre d’attaques est avantageux pour Pyongyang puisqu’il est particulièrement difficile de remonter jusqu’à l’auteur des cyberattaques. Malgré ça, le FBI a réussi, le 8 septembre, a récupéré l’équivalent de 30 millions de dollars en cryptomonnaies subtilisé par le groupe malveillant. En juillet, le gouvernement américain annonçait une récompense de 10 millions de dollars à ceux qui seraient en capacité de fournir des informations sur les membres de Lazarus.
