Vous souvenez vous des cyberattaques sur le réseau Swift ? Il y a un an, la banque centrale du Bangladesh a été victime de faux ordres de virement pour un montant total de 81 millions de dollars. Cet argent a été exfiltré par des hackers au travers du réseau de transmission bancaire après avoir piraté les infrastructures internes de l’établissement. D’autres victimes sont apparues dans la foulée, au Vietnam, en Equateur et aux Philippines. Assez rapidement, les chercheurs en sécurité ont établi un lien entre ces attaques et « Lazarus », un groupe de pirates qui s’est tristement rendu célèbre avec le cybersabotage de Sony Pictures. Et ce dernier a été clairement attribué à la Corée du nord par le gouvernement américain.
Une étude publiée par Kaspersky Labs vient maintenant de confirmer le lien entre ces pillages bancaires et le groupe Lazarus. Elle montre également que ces tentatives de cyberbraquages sont bien plus fréquentes qu’on ne le pensait. Ainsi, l’éditeur a identifié la présence des malwares de Lazarus dans 18 pays, dont la Russie, l’Australie, la Norvège, la Pologne et le Nigéria. Les victimes sont principalement des banques, mais aussi des casinos, des places de marché de cryptomonnaies et des éditeurs de logiciels d’investissement financier.
Dans l’une des attaques, il a même été possible d’établir un lien direct avec la Corée du nord. En analysant un serveur de commande et contrôle, des chercheurs en sécurité ont réussi à remonter les connexions vers une adresse IP localisée dans le pays de Kim Jong-un.
Au total, Kaspersky a pu mettre la main sur plus de 150 échantillons de malwares de Lazarus. Leur analyse révèle un ensemble de techniques particulièrement sophistiquées. Pour entrer dans le réseau de l’établissement bancaire, les pirates vont habituellement pirater et piéger un serveur web, par exemple celui d’une agence gouvernementale. Si une personne de l’établissement ciblée se rend sur ce site, son poste est infecté avec une porte dérobée. Les pirates vont utiliser cet ordinateur comme tremplin pour procéder à des mouvements latéraux, infecter d’autres systèmes et commencer une analyse générale du réseau, des ressources informatiques et des procédures métier. Une fois ce repérage terminé, les pirates déploient un malware taillé sur mesure capable de contourner les dispositifs de sécurité liés aux virements bancaires. Le vol d’argent peut commencer.
Selon Kasperky, Lazarus est un groupe de pirates très large qui concentrent ses activités sur le cyberespionnage et le cybersabotage. Le braquage de banque n’est apparu que très récemment et serait géré par un sous-groupe que l’éditeur a baptisé Bluenoroff. Les membres de cette filiale du piratage sont hautement spécialisés avec un mot d’ordre : la discrétion. « Leurs solutions visent à réaliser un vol sans être vu et sans laisser de traces. Bien sûr, il est difficile de rester discret en transférant des millions de dollars, mais nous pensons que leur malware est actuellement déployé secrètement dans beaucoup d’autres endroits sans provoquer d’alarmes sérieuses », explique Kaspersky.
Mais pourquoi la Corée du nord se lancerait-elle dans une campagne de pillage mondiale ? Selon des experts cités par CNN, ces opérations permettraient au régime de contourner les sanctions économiques et de financer sa recherche nucléaire. « Tout ça, c’est pour les programmes de missiles et d’armes nucléaires. Ils ont besoin de cet argent pour construire et développer des missiles balistiques », estime Anthony Ruggiero, membre du think-tank Foundation for Defense of Democracies.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.