Les pirates informatiques se faisaient passer pour des blogueurs passionnés par la recherche scientifique et utilisaient de faux comptes sur les réseaux sociaux dans le but de voler des informations.
Détection grâce à Google
Un réseau de hackers basés en Corée du Nord aurait ciblé des chercheurs en sécurité, selon le Groupe d’Analyse des Menaces, The Threat Analysis Group, un service appartenant à Google et qui cherche à contrer les cyberattaques soutenues par les gouvernements de divers pays.
« Au cours des derniers mois, le Groupe d’Analyse des Menaces a identifié une campagne en cours contre les chercheurs en sécurité travaillant dans la recherche et le développement au sein de différentes entreprises et organisations« , a écrit son responsable, Adam Weidemann, lundi 25 janvier 2021, sur le blog officiel de Google. Il a aussi déclaré que les spécialistes du Groupe d’analyse des menaces ont attribué la campagne à « une entité soutenue par le gouvernement nord-coréen et basée en Corée du Nord« .
Des rabateurs en embuscade
Adam Weidemann a ajouté que « dans le but de renforcer leur crédibilité et de contacter les chercheurs en sécurité, les hackers ont créé un blog centré sur la recherche scientifique ainsi que de multiples profils Twitter afin d’interagir avec des cibles potentielles », précisant que les comptes sur cette plateforme étaient utilisés pour diffuser « les liens de leur blog, publier des vidéos de leurs prétendus exploits, et retweeter les messages des autres comptes qu’ils contrôlaient« .
Selon The Threat Analysis Group, les hackers ont aussi utilisé les plateformes LinkedIn, Telegram, Discord et Keybase, pour pouvoir communiquer avec leurs victimes.
Hameçonnage grâce à un blog
Après avoir réussi à établir le contact avec les chercheurs, les hackers leur ont demandé s’ils voulaient collaborer à la recherche sur la cyber-vulnérabilité et leur ont alors partagé un outil contenant, à leur insu, un code conçu pour installer des logiciels malveillants sur les ordinateurs des chercheurs, ce qui permettait ensuite aux pirates d’en prendre le contrôle et de voler toutes sortes d’informations aux chercheurs.
« Plusieurs chercheurs ciblés ont été compromis après avoir suivi un lien Twitter vers un blog mis en place par les hackers« , a déclaré Adam Weidemann, qui a aussi publié une liste de comptes de réseaux sociaux et de sites internet qui étaient selon lui contrôlés par les pirates.
Les spécialistes en sécurité victimes de ces hackers ont admis qu’à ce stade, ils n’étaient pas en mesure de confirmer dans quelle mesure ni de quelle manière leurs systèmes ont pu être compromis, et ont précisé qu’ils « accueillent favorablement toute information que d’autres pourraient avoir obtenue« .
Adam Weidemann a ajouté qu’au moment de ces visites, « les systèmes d’exploitation des ordinateurs des hackers exécutaient des versions de navigateur Windows 10 et Chrome entièrement corrigées et parfaitement à jour« .
Implication de la Corée du Nord?
Alors que la Corée du Nord nie toute implication, elle a déjà été soupçonnée dans le passé d’être responsable de cyberattaques majeures, notamment une campagne de 2013 qui a paralysé les serveurs des institutions financières sud-coréennes, le piratage spectaculaire du studio de cinéma Sony Pictures, en 2014, qui a conduit à la publication de dizaines de milliers d’e-mails confidentiels et de fichiers professionnels, ainsi que les nombreuses attaques au moyen du ransomware WannaCry, en 2017.
En 2018, le ministère de la Justice des USA a lancé des poursuites pénales à la suite d’une enquête de plusieurs années menée par le FBI, contre un programmeur informatique nommé Park Jin-hyok, en raison de son implication présumée dans les cyber-attaques contre Sony Pictures ainsi que dans l’utilisation du ransomware WannaCry. Selon les accusations, ce hacker serait lié aux services de renseignements militaires nord-coréens, et aurait aussi participé, en 2016, au piratage de 81 millions de dollars appartenant à la banque centrale du Bangladesh.
En 2019, le Conseil de sécurité de l’ONU a estimé que la Corée du Nord avait pu gagner, sur plusieurs années, jusqu’à 2 milliards de dollars grâce à des attaques ciblant des plateformes de trading de cryptomonnaies.
Plus récemment, les États-Unis ont lié des pirates informatiques soutenus par la Corée du Nord à un braquage massif de crypto-monnaie d’une valeur de 615 000 000 $ (583 235 250 euros) par des joueurs du jeu en ligne populaire Axie Infinity le mois dernier.
