Accueil Sécurité WannaCry : la piste nord-coréenne se précise

WannaCry : la piste nord-coréenne se précise

Symantec, Kaspersky Lab, FireEye, des spécialistes de la sécurité s’accordent à penser que les auteurs de WannaCry pourraient bien être des pirates liés à Pyongyang…

Le groupe de pirates informatiques Lazarus, soupçonné d’avoir partie liée avec la Corée du Nord, est très vraisemblablement responsable de la récente cyberattaque mondiale WannaCry, a jugé Symantec, éditeur américain de logiciels anti-virus. Symantec a estimé que le ransomware utilisé présentait nombre des caractéristiques d’autres attaques de Lazarus, y compris le piratage en 2014 de Sony Pictures et d’un vol de plusieurs millions de dollars perpétré contre la banque centrale du Bangladesh en 2016.
Sans évoquer les liens supposés de ce groupe avec le pays reclus, Symantec
explique qu’une précédente version de WannaCry avait été utilisée dans un
petit nombre d’attaques les trois mois précédant la cyberattaque mondiale qui
a débuté le 12 mai. « L’analyse (…) a révélé des points communs substantiels dans les outils, techniques, infrastructures utilisées par les pirates et ceux observés lors de précédentes attaques de Lazarus, ce qui fait qu’il est hautement probable que Lazarus ait été derrière l’attaque WannaCry« , écrit la société américaine le lundi 22 mai dans un communiqué. « Les attaques WannaCry ne portent pas l’empreinte d’une campagne à l’échelle d’un Etat mais sont plus caractéristiques d’une campagne de cybercriminels« , ajoute cependant Symantec.

Des ressources de développement de logiciels partagés avec des opérateurs d’espionnage nord-coréens

Ben Read, analyste chez l’éditeur FireEye, indique lui que « le malware de WannaCry partage un code unique avec des logiciels malveillants WHITEOUT que nous avons précédemment attribués à des acteurs suspects en Corée du Nord. Alors que nous n’avons pas vérifié l’observation par d’autres experts des outils RPDC [NDLR : République populaire démocratique de Corée] connus utilisés pour supprimer les premières versions de WannaCry, nous n’avons pas observé d’autres groupes utiliser le code présent à la fois dans WannaCry et WHITEOUT et nous ne croyons pas qu’il soit disponible en open source. Cela indique une connexion entre les deux. Notre analyse a révélé que ce code unique était partagé par d’autres logiciels malveillants nord-coréens, y compris NESTEGG et MACTRUCK. De manière significative, alors que ce code est présent dans le logiciel malveillant MACTRUCK, il n’est pas utilisé. Le code partagé signifie probablement que, au minimum, les opérateurs de WannaCry partagent des ressources de développement de logiciels avec des opérateurs d’espionnage nord-coréens. »
Des spécialistes de la sécurité informatique en Corée du Sud, aux
Etats-Unis, en Russie et en Israël ont déjà pointé un doigt accusateur sur la
Corée du Nord. Jusqu’à 300 000 ordinateurs dans 150 pays ont été infectés par WannaCry. La semaine dernière, la Corée du Nord avait nié avec véhémence tout rapport avec cette cyberattaque. La Corée du Nord semble avoir intensifié les cyberattaques ces dernières années. Selon les experts, elle cherche notamment à récupérer les devises étrangères qui lui font cruellement défaut en raison des sanctions qui lui ont été infligées à cause de son programme nucléaire.

 

Auteur : Juliette Paoli avec AFP