Les acteurs de la menace parrainés par l’État nord-coréen ont été attribués à une campagne de cyberespionnage ciblant le secteur de la défense à travers le monde.
Dans un avis conjoint publié par l’Office fédéral allemand pour la protection de la Constitution (BfV) et le Service national de renseignement (NIS) de Corée du Sud, les agences ont déclaré que le but des attaques était de piller les technologies de défense avancées de manière « rentable ». .
« Le régime utilise les technologies militaires pour moderniser et améliorer les performances des armes conventionnelles et pour développer de nouveaux systèmes d’armes stratégiques, notamment des missiles balistiques, des satellites de reconnaissance et des sous-marins », ont-ils déclaré. noté.
Le tristement célèbre groupe Lazarus a été blâmé pour l’un des deux incidents de piratage informatique, qui impliquait le recours à l’ingénierie sociale pour infiltrer le secteur de la défense dans le cadre d’une opération de longue date appelée Dream Job. La campagne se déroule depuis août 2020 sur plusieurs vagues.
Dans ces attaques, les auteurs de la menace créent un faux profil ou exploitent des profils légitimes mais compromis sur des plateformes comme LinkedIn pour approcher des cibles potentielles et établir un lien de confiance avec elles, avant de proposer des opportunités d’emploi lucratives et de déplacer la conversation vers un autre service de messagerie comme WhatsApp. pour lancer le processus de recrutement.
Les victimes reçoivent ensuite des tâches de codage et des documents d’offre d’emploi chargés de logiciels malveillants qui, une fois lancés, activent la procédure d’infection pour compromettre leurs ordinateurs.
« Généralement, le fait que les employés ne parlent généralement pas d’offres d’emploi à leurs collègues ou à leur employeur fait le jeu de l’attaquant », ont déclaré les agences.
« Le Groupe Lazarus a fait évoluer ses outils tout au long de la campagne et a démontré à plusieurs reprises qu’il est capable de développer tout ce qui est nécessaire en fonction de la situation. »
Le deuxième cas concerne une intrusion dans un centre de recherche de défense vers la fin de l’année 2022 en exécutant une attaque de chaîne d’approvisionnement logicielle contre une société anonyme chargée de maintenir l’un des serveurs web du centre de recherche.
« Le cyber-acteur a en outre infiltré le centre de recherche en déployant des logiciels malveillants télécommandés via un système de gestion de correctifs (PMS) du centre de recherche, et a volé diverses informations de compte sur des portails commerciaux et des contenus de courrier électronique », ont indiqué le BfV et le NIS.
La brèche, menée par un autre acteur menaçant basé en Corée du Nord, s’est déroulée en cinq étapes :
- Piratez l’entreprise de maintenance du serveur Web, volez les informations d’identification SSH et accédez à distance au serveur du centre de recherche
- Téléchargez des outils malveillants supplémentaires à l’aide de commandes curl, notamment un logiciel de tunneling et un téléchargeur basé sur Python.
- Effectuer des mouvements latéraux et piller les identifiants du compte des employés
- Exploitez les informations de compte du responsable de la sécurité volées pour distribuer sans succès une mise à jour de cheval de Troie dotée de fonctionnalités permettant de télécharger et de télécharger des fichiers, d’exécuter du code et de collecter des informations système.
- Persistez dans l’environnement cible en exploitant une vulnérabilité de téléchargement de fichiers sur le site Web pour déployer un shell Web pour l’accès à distance et envoyer des e-mails de spear phishing.
« L’acteur a évité de mener une attaque directe contre sa cible, qui maintenait un haut niveau de sécurité, mais a plutôt lancé une première attaque contre son fournisseur, l’entreprise de maintenance et de réparation », ont expliqué les agences. « Cela indique que l’acteur a profité de la relation de confiance entre les deux entités. »
Ce bulletin de sécurité est le deuxième publié par le BfV et le NIS en autant d’années. En mars 2023, les agences ont mis en garde contre les acteurs de Kimsuky utilisant des extensions de navigateur malveillantes pour voler les boîtes de réception Gmail des utilisateurs. Kimsuky a été sanctionné par le gouvernement américain en novembre 2023.
Ce développement intervient alors que la société d’analyse de blockchain Chainalysis a révélé que le groupe Lazarus avait opté pour l’utilisation du mélangeur Bitcoin YoMix pour blanchir les produits volés après la fermeture de Sinbad à la fin de l’année dernière, ce qui indique sa capacité à adapter son mode opératoire en réponse aux actions des forces de l’ordre.
« Sinbad est devenu le lieu de prédilection des pirates informatiques affiliés à la Corée du Nord en 2022, peu après la sanction de Tornado Cash, qui était auparavant la référence de ces cybercriminels sophistiqués », a déclaré la société. dit. « Avec Sinbad hors de vue, le mélangeur basé sur Bitcoin YoMix a agi en remplacement. »
Ces activités malveillantes sont l’œuvre d’une pléthore d’unités de piratage nord-coréennes opérant sous l’égide de Lazarus, connues pour se livrer à toute une série d’opérations de piratage allant du cyberespionnage aux vols de cryptomonnaies, en passant par les ransomwares et les attaques contre la chaîne d’approvisionnement pour atteindre leurs objectifs stratégiques. objectifs.