Par Antoine Messina – @antoinemessina_
Publié le 9 septembre 2022 à 15h28
Cisco Talos, une société spécialisée dans le renseignement des menaces informatiques, a révélé, le 8 septembre, que des fournisseurs d’énergie situés aux États-Unis, au Canada et au Japon avaient été la cible de cyberattaques entre février et juillet dernier. Elle attribue ces actions au groupe de hackers nord-coréens Lazarus, des pirates soutenus par Pyongyang, célèbres pour avoir piraté Sony Pictures en 2014.
Les chercheurs de Cisco Talos ont établi que Lazarus aurait utilisé la faille Log4Shell, présente dans le logiciel Log4j depuis plus d’un an. Ils en auraient profité pour compromettre les serveurs VMware Horizon, qui offrent des environnements de travail virtuels par le cloud, en y déployant deux logiciels malveillants, « VSingle » et « YamaBot ». Un implant de malware inconnu appelé « MagicRAT » a également été découvert.
Les premiers détails de ces manœuvres d’espionnage avaient été dévoilés par Symantec, une filiale de Broadcom Software qui offre des services de protection informatiques, en avril. Elle attribuait notamment ces méfaits à Stonefly, une branche du groupe Lazarus plus connue sous les noms de Andariel, de Guardian of Peace, d’OperationTroy et de Silent Chollima.
En utilisant « VSingle », les hackers pouvaient mener plusieurs activités allant de la reconnaissance à l’exfiltration de données. Jung soo An, Asheer Malhotra et Vitor Ventura, trois chercheurs de Cisco Talos expliquent que « l’objectif principal de ces attaques était probablement d’établir un accès à long terme aux réseaux des victimes pour mener des opérations d’espionnage en accord avec les objectifs du gouvernement nord-coréen. Ces activités s’alignent sur les intrusions historiques de Lazarus qui ont ciblé des infrastructures critiques et des entreprises du secteur de l’énergie afin d’établir un accès à long terme pour siphonner la propriété intellectuelle ».
En apportant son soutien au groupe Lazarus dans ses activités de cyberespionnage, la Corée du Nord cherche à satisfaire ses intérêts. Intéressés par le vol de propriété intellectuelle pour des fins militaires, les hackers concentrent depuis quelque temps leurs attaques sur les entreprises du secteur de la cryptomonnaie afin de se financer.
Dernièrement, les cyberpirates avaient été accusés du hack de la blockchain Harmony, siphonnant 100 millions de dollars en cryptomonnaies. Plus tôt dans l’année, ils étaient soupçonnés du vol de 625 millions de dollars en cryptomonnaies issus de la sidechain Ronin, une blockchain secondaire conçue spécialement pour supporter le jeu « Play To Earn » Axie Infinity.
Ce genre d’attaques est avantageux pour Pyongyang puisqu’il est particulièrement difficile de remonter jusqu’à l’auteur des cyberattaques. Malgré ça, le FBI a réussi, le 8 septembre, a récupéré l’équivalent de 30 millions de dollars en cryptomonnaies subtilisé par le groupe malveillant. En juillet, le gouvernement américain annonçait une récompense de 10 millions de dollars à ceux qui seraient en capacité de fournir des informations sur les membres de Lazarus.
Publié le 18 octobre 2022 à 17h17
Publié le 18 octobre 2022 à 08h48
Publié le 17 octobre 2022 à 16h12
Publié le 17 octobre 2022 à 08h43
Publié le 14 octobre 2022 à 09h15
Publié le 13 octobre 2022 à 15h38
Modifier mes choix de cookies
© 2021 Siècle Digital est une marque déposée par SHINE MEDIA SAS. Tous droits réservés