WannaCry : les États-Unis incriminent officiellement la Corée du Nord
WannaCry : les États-Unis incriminent officiellement la Corée du Nord,
« avec un très haut niveau de certitude »
Cette année, l’un des logiciels malveillants qui a beaucoup fait parler de lui est le ransomware WannaCry. Pour rappel, le ransomware WannaCry a ciblé une vulnérabilité critique de Server Message Block (SMB) que Microsoft a corrigée avec son patch MS17-010 qui a été diffusé le 14 mars 2017 et s’est appuyé sur deux exploits de la NSA diffusés par les Shadow Brokers : EternalBlue, pour infecter les systèmes, et DoublePulsar, comme porte dérobée.
Durant sa campagne, il a infecté des milliers d’entreprises de par le monde, affectant différents secteurs de l’industrie, mais également des particuliers.
Plusieurs experts en sécurité informatique qui avaient examiné le code de WannaCry après l’attaque, avaient repéré des similarités avec celui utilisé pour attaquer Sony Pictures, l’œuvre d’un groupe de pirates très compétents appelé Lazarus, suspecté d’être parrainé par l'agence d’espionnage de la Corée du Nord, le Reconnaissance General Bureau (RGB).
Ayant mené une enquête sur WannaCry, la NSA a également indiqué dans ses résultats en interne en juin 2017 qu’elle pensait, avec une « confiance raisonnable », qu’il s’agit de l’œuvre du groupe Lazarus. La NSA aurait par exemple identifié des adresses IP en Chine, historiquement utilisées par Lazarus pour brouiller ses pistes.
Si cette conclusion n’était que le fruit d’une divulgation d’une source au Washington Post, cette fois-ci l’administration Trump l’a rendue officielle. En effet, ce lundi 18 décembre, les États-Unis ont accusé la Corée du Nord d’être « directement responsable » de la cyberattaque mondiale WannaCry.
Tom Bossert, conseiller à la sécurité intérieure de la Maison-Blanche, affirme « avec un très haut niveau de certitude » que la Maison-Blanche est parvenue à ces conclusions « à la suite d’une enquête minutieuse ».
« Il ne s’agit pas d’une accusation lancée à la légère. Elle est fondée sur des preuves. Nous ne sommes pas non plus les seuls à le penser. D’autres gouvernements et entreprises privées sont d’accord avec nous. Le Royaume-Uni attribue cette attaque à la Corée du Nord et Microsoft est remonté jusqu’à ses auteurs, qui sont affiliés au régime nord-coréen. »
« L'attaque s’est généralisée et a coûté des milliards, et la Corée du Nord est directement responsable », a-t-il insisté.
Et de regretter que « La Corée du Nord a agi particulièrement mal, en grande partie sans contrôle, pendant plus d'une décennie, et son comportement malveillant est de plus en plus flagrant », estimant que « WannaCry était inconsidérément imprudent. »
La condamnation publique de Washington n'inclut aucun acte d'accusation ni de nom de personne en particulier, a ajouté le responsable de l'administration, ajoutant que cette procédure visait à rendre Pyongyang responsable de ses actes et « éroder et réduire leur capacité à lancer des attaques. »
En France, une enquête avait été ouverte par le parquet de Paris et confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.
En juin, la Corée du Nord avait démenti, aux Nations unies, être à l’origine de la cyberattaque.
L'accusation des États-Unis intervient dans un contexte où des inquiétudes sont soulevées quant aux capacités de piratage de la Corée du Nord et à son programme d'armement nucléaire.
Source : WSJ, Reuters
Et vous ?
:fleche: Qu'en pensez-vous ?
Coupables parce-que les USA le disent...
"Haut niveau de certitude", "suspectés", "confiance raisonnable", "nous ne sommes pas les seuls à le penser", ...
En voilà un dossier solide, que des doutes !
Les USA devraient se calmer avec leurs accusations à la légère. A moins que ça ne serve leurs intérêts comme en Irak.
Comme par hasard, c'est la Corée du Nord qui est désignée. Ca tombe au bon moment ! A quand les frappes sur ce pays ? :roll:
3 pièce(s) jointe(s)
Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière WannaCry ?
Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière le virus WannaCry,
en partant d'un CV comme indice ?
Le 6 septembre, le ministère de la Justice des États-Unis a officiellement accusé un développeur nord-coréen d’être parmi les instigateurs de certaines des plus grandes cyberattaques de ces dernières années.
Selon l'acte d'accusation de 176 pages, Park a travaillé pour Chosun Expo Joint Venture, une entreprise qui serait liée à une unité de renseignement militaire nord-coréenne appelée Lab 110 mais qui se fait passer pour une entreprise de jeu et paris en ligne.
Park ferait partie d’une unité connue sous le nom de "Lazarus Group", que les États-Unis allèguent également liée à d’autres campagnes de spear phishing, à des attaques par logiciels malveillants et à la tentative de vol de documents et d’argent des banques d’Asie du Sud-Est et d’Afrique.
Le hacker nord-coréen a été inculpé d'un chef d'accusation de complot en vue de commettre une fraude informatique et d'un autre chef de complot en vue de commettre une fraude électronique. L’accusation de fraude informatique peut conduire à cinq ans d’emprisonnement au maximum, tandis que la fraude électronique peut aller jusqu’à 20 ans.
Il est peu probable que Park soit extradé car les États-Unis n’ont pas de relations formelles avec la Corée du Nord.
Les différentes attaques qui lui sont attribuées
Le piratage de Sony Pictures en novembre 2014 a conduit à la publication de milliers de courriers électroniques internes, de documents et d'autres informations telles que les salaires et les films non publiés.
L'attaque a eu lieu avant la sortie du film de comédie The Interview, qui dépeint un complot fictif de la CIA visant à tuer le dirigeant nord-coréen Kim Jong-un.
Un mois plus tard, des responsables américains ont accusé la Corée du Nord de l'attaque, une accusation soutenue par plusieurs organisations, dont une liée au gouvernement sud-coréen.
La cyberattaque WannaCry a eu lieu en 2017 lorsque le ransomware a infecté environ 300 000 ordinateurs. Il fallait que les personnes touchées par le virus paient une certaine somme en Bitcoin pour accéder à leurs fichiers à nouveau.
Une autre attaque informatique de grande envergure que les États-Unis avaient attribués à la Corée du Nord était le transfert illicite de 81 millions de dollars d’une banque bangladaise en 2016.
En somme, selon l’acte d'accusation du DOJ de 179 pages, les États-Unis estiment que Park Jin Hyok, un Nord-Coréen de 34 ans, est l'une des nombreuses personnes à l'origine d'une longue série d'attaques de malwares et d'intrusions, telles que:
- le ransomware WannaCry qui a fait beaucoup parlé de lui en 2017;
- les tentatives de piratage de l'entrepreneur de défense américain Lockheed Martin en 2016;
- Les opérations lancées contre la Banque centrale du Bangladesh 2016;
- L’intrusion chez Sony Pictures Entertainment en 2014;
- L’intrusion dans les systèmes des chaînes américaines de cinéma AMC Theatres et Mammoth Screen en 2014;
- Une longue série de piratages d'organisations de médias, de banques et d'entités militaires sud-coréennes sur plusieurs années et;
- des piratages de banques à travers le monde de 2015 à 2018.
Le CV qui met sur la voie
La Chosun Expo Joint Venture s'est engagée à la fois dans le hacking et dans les affaires régulières, travaillant avec des clients sur des projets logiciels et informatiques et utilisant des services de messagerie gratuits, notamment Gmail, selon la plainte pénale. L’acte d’accusation souligne qu’un indice a permis aux enquêteurs de progresser lorsque le prétendu supérieur de Park a envoyé son CV et sa photo à une autre entreprise dans le cadre de ses opérations technologiques quotidiennes.
Les enquêteurs ont consulté environ 1 000 comptes de messagerie et de médias sociaux en utilisant une centaine de mandats de recherche et les ont utilisés pour rassembler une image des hackers et de leurs opérations, selon la plainte.
Eric Chien, directeur technique de la réponse de sécurité chez Symantec Corp., une société de sécurité numérique basée à Mountain View, en Californie, qui suit le Lazarus Group et est cité dans le rapport du ministère de la Justice, a déclaré que les hackers vont probablement changer leur infrastructure mail. "Nous nous attendons à une accalmie, puis à une reprise d’activité", a déclaré Chien dans une interview.
Les choses se précisent
L’acte d’accusation du Département de la justice, l’un des plus importants en son genre en ce qui concerne le nombre de pages, énumère une vaste gamme d’adresses électroniques utilisées pour enregistrer des noms de domaine et acheter des services d’hébergement utilisés dans tous les cas.
Il inclut également les adresses IP utilisées pour accéder aux serveurs de commande et de contrôle des logiciels malveillants, aux comptes de médias sociaux et aux serveurs piratés hébergeant des logiciels malveillants utilisés dans les attaques.
Les responsables affirment avoir identifié les comptes de messagerie et de médias sociaux que Park utilisait lors de son travail à Chosun Expo, ainsi que les comptes de messagerie et de médias sociaux utilisés par Lazarus Group pendant ses quatre années de piratage.
Les enquêteurs signalent en particulier un personnage faux nommé "Kim Hyon Woo" qui semble avoir des liens par adresse IP ou par adresse électronique avec les opérations de piratage de Lazarus et leurs victimes.
Mais les responsables ont déclaré que malgré les efforts déployés par Park pour ne pas utiliser son personnage, ses e-mails et ses adresses IP réels pour accéder à l’infrastructure du Groupe Lazarus et aux serveurs piratés, il a finalement laissé des traces reliant ses comptes réels au personnage:
« Les connexions entre les comptes Expo Chosun de PARK et les comptes Kim Hyon Woo incluent un accès partagé à une archive .rar cryptée, un enregistrement des comptes Kim Hyon Woo dans le carnet d'adresses de Chosun Expo Accounts, un accès à ces comptes à partir des mêmes adresses IP, entre autres ».
Les fonctionnaires sont persuadé que les comptes en ligne associés au personnage "Kim Hyon Woo" ont été utilisés par plusieurs opérateurs, et ils sont convaincus que Park était l'un d'entre eux.
De plus, en raison de ses antécédents en matière de programmation, ils croient également qu’il a participé à la création du logiciel malveillant Lazarus Group.
Lequel, les fonctionnaires du DOJ ne sont pas certains. Mais ils ont souligné qu'il existe d'innombrables liens entre les différents logiciels malveillants auxquels les opérateurs du groupe Lazarus ont eu recours au fil des ans.
« Les échantillons WannaCry et Trojan.Alphanc ont tous deux utilisé l'adresse IP 84.92.36.96 comme adresse IP de commande et de contrôle. Cette adresse IP était également une adresse de commande et de contrôle pour un échantillon de logiciels malveillants obtenus par le FBI, qui supprime une charge utile de logiciels malveillants de la même manière que les autres logiciels malveillants que les sociétés de cybersécurité privées ont attribués au Groupe Lazarus, ainsi que d’autres utilisés pour cibler Lockheed Martin. Le 29 février et le 1er mars 2016, une adresse IP nord-coréenne connectée à cette adresse IP. [...] Plus précisément, cette adresse IP nord-coréenne a été utilisée pour accéder au serveur Web compromis, le 8 janvier 2016; les 22 et 27 janvier 2016, il s'est également connecté à un ordinateur compromis en Caroline du Nord infecté par des logiciels malveillants liés à l'attaque de SPE; et, le 10 mars 2016, il a été utilisé pour accéder à un profil Facebook auquel il était possible d'accéder depuis l'adresse IP nord-coréenne # 2 le 13 décembre 2015 ».
L’acte d’accusation présente plus de détails de ces connexions et développe un maillage complexe qui relie toutes les infrastructures du groupe Lazarus, puis mène au faux personnage de Kim Hyon Woo, puis aux comptes de Chosun Expo connus auparavant pour avoir appartenu à Park.
Source : acte d'accusation (au format PDF)
Et vous ?
:fleche: Cela vous semble-t-il suffisamment crédible ou estimé vous qu'il y ait des chances que ce ne soient que des conjectures malheureuses ?
Voir aussi :
:fleche: Le CEO de Google refuse de s'exprimer devant le Sénat américain sur l'ingérence russe lors des élections US de 2016
:fleche: Un groupe de hackers aurait réussi à pirater PlayStation Network de Sony et a revendiqué l'attaque via un compte Twitter officiel de PlayStation
:fleche: Sony capitule face aux menaces des pirates et renonce à sortir son film « The Interview », provoquant ainsi la colère de nombreux acteurs
:fleche: Piratage de Sony : des hackers menacent de lancer une attaque terroriste contre les salles de cinéma qui vont projeter le film « The Interview »
:fleche: Sony Pictures victime d'un piratage par la Corée du Nord ? L'attaque pourrait être une riposte suite à la sortie du film 'The Interview'
Vous avez dit Corée du nord ?
Quand la Corée du nord publie une info, on est en droit de discuter cette info.
La Corée du nord est une dictature et elle n'hésitera pas à sacrifier un pauvre citoyen qui n'a rien à voir dans l'affaire !
Vous devriez avoir honte de diffuser ce type d'info invérifiable ! :weird: