Les cyberfraudeurs de Pyongyang

Ils se font passer pour des recruteurs de Lockheed Martin ou du géant britannique de la défense et de l’aérospatial BAE Systems. Ces soi-disant chasseurs de tête font miroiter des perspectives lucratives de carrière et des postes à responsabilité. Mais ce n’est que du vent. En réalité, il s’agit de cyberespions nord-coréens cherchant à voler des secrets industriels de groupes de défense ou du secteur de l’aérospatial, révèle Eset, une société slovaque de sécurité informatique, dans un rapport publié mardi 31 mai.

Cette opération, toujours en cours en mars 2022 et pilotée depuis Pyongyang, avait déjà été détectée il y a deux ans. Mais à l’époque, "nous pensions que les cibles se trouvaient essentiellement en Europe", note Jean-Ian Boutin, directeur des recherches sur les cybermenaces chez Eset.

Sur LinkedIn, WhatsApp et Slack

En réalité, la plupart des continents ont été visés et des victimes ont été recensées en France, en Allemagne, en Espagne, en Ukraine, en Turquie, au Qatar, aux États-Unis ou encore au Brésil.

Le mode opératoire est toujours le même et peut surprendre pour des hackers venus d’un pays coupé du monde et des principaux outils technologiques modernes. Ces cyberespions prennent généralement contact avec leur cible via le réseau social professionnel LinkedIn où ils ont créé des faux profils.

Ils ont même parfois copié des éléments de vraies campagnes de recrutement de grands groupes mondialement connus – comme des photos de séances de recrutement qui ont réellement eu lieu – pour asseoir la crédibilité de leur démarche.

Après un premier contact, ces pirates informatiques à la solde du régime nord-coréen proposent parfois de poursuivre les discussions sur WhatsApp ou la messagerie professionnelle Slack. "Au départ, ils se montrent très avenants et amicaux. Mais ensuite, ils deviennent de plus en plus pressants", décrit Jean-Ian Boutin.

Leur but : pousser la victime à télécharger des documents parfois présentés comme des formulaires à remplir mais qui contiennent, en réalité, un logiciel malveillant. C’est ainsi qu’ils peuvent ensuite s’introduire sur les serveurs des sociétés de défense ou d’aérospatial qu’ils visent.

Eset ne dit pas à quel point ces hackers ont réussi à dérober des secrets industriels, mais l’échelle à laquelle cette opération est menée et sa durée témoignent de son importance aux yeux des autorités nord-coréennes.

L’objectif n’est écrit nulle part noir sur blanc, mais l’une des principales hypothèses est que la Corée du Nord cherche à acquérir ainsi des technologies militaires que le pays ne peut pas obtenir légalement à cause de l’étau des sanctions internationales, suggère Jean-Ian Boutin.

Cela coïnciderait, en outre, avec l’une des principales raisons d'être de Lazarus, le groupe à la manœuvre dans cette opération, d’après Eset. Ce sont les spécialistes nord-coréens des cyberopérations les plus ambitieuses "pour servir les intérêts nationaux du régime", écrit Bruce Klingner, spécialiste de la péninsule coréenne pour le think tank américain The Heritage Foundation, dans une note sur la cybermenace nord-coréenne publiée fin 2021.

Lazarus et "l’arme magique" de Kim Jong-un

Au fil des ans, Lazarus est devenu synonyme de hacking "made in Corée du Nord". À tel point que, même au sein de la communauté de la sécurité informatique, "on utilise Lazarus comme une sorte d’appellation parapluie pour désigner tout un ensemble de sous-groupes qui dépendent du Bureau général de reconnaissance [service de renseignement extérieur nord-coréen spécialisé dans les opérations clandestines, NDLR]", explique Benjamin Read, directeur des recherches sur le cyberespionnage pour Mandiant, l’un des principaux groupes américains de cybersécurité, qui a publié en mars 2022 un état des lieux des activités de Lazarus.

La montée en puissance de Lazarus depuis ses débuts en 2007 témoigne à la fois de l’évolution des priorités du régime nord-coréen et de la place toujours grandissante des pirates informatiques dans l’appareil d’État. En 2013, Kim Jong-un comparait d’ailleurs la "cyberguerre" à une "arme magique" et une "épée que la Corée du Nord abat sur ses ennemis à l’instar des missiles et de l’arsenal nucléaire".

C’était un an avant que Lazarus, jusque-là surtout cantonné à des attaques plutôt discrètes contre des cibles en Corée du Sud, fasse une entrée fracassante sur la scène internationale en piratant les serveurs de Sony Pictures. Pyongyang voulait punir le studio qui avait produit le film "The Interview", accusé de ridiculiser le régime nord-coréen. "C’est Lazarus qui a été le premier groupe de pirates informatiques à utiliser du cybersabotage et des vols de données afin d’exercer une pression géopolitique", rappelle Benjamin Read. En l’occurrence, Pyongyang voulait le retrait du film "The Interview".

Quelques années plus tard, c’est encore Lazarus qui a fait prendre conscience des effets dévastateurs que peuvent avoir les rançongiciels. Ce sont ses pirates qui ont infecté plus de 300 000 ordinateurs dans le monde avec le logiciel malveillant WannaCry en 2017. Une opération qui avait semé la panique dans plusieurs pays, notamment au Royaume-Uni où plusieurs établissements de santé avaient été touchés, leur service informatique ayant été bloqué et leur fonctionnement ainsi paralysé.

Mais Lazarus, c’est aussi bien plus que ça. À partir de 2015, ce groupe a mis en place des équipes dédiées aux crimes financiers. "Au fur et à mesure que la communauté internationale réussissait à limiter les activités illégales traditionnelles – comme la contrefaçon et le trafic d’antiquités – qui avaient longtemps permis à Pyongyang de gagner de l’argent, le régime a misé toujours davantage sur ses cybercriminels", souligne Bruce Klingner dans son étude sur la cybermenace nord-coréenne.

Les "plus grands braqueurs de banques du monde"

Il y a même un sous-groupe spécifique à Lazarus, baptisé BlueNoroff, dont la mission unique est de rapporter des devises dans les caisses de l’État. Et ses cybercriminels se sont montrés très créatifs. Ils ont été les premiers à exploiter une vulnérabilité du système de messagerie interbancaire Swift pour attaquer en 2016 une banque centrale, celle du Bangladesh. Une opération qui leur avait rapporté plus de 80 millions d’euros.

Ces cybercriminels ont aussi monté des vastes attaques contre les réseaux de distributeurs d’argent. En 2018, ils ont ainsi réussi à voler des dizaines de millions de dollars à des banques en Afrique et en Asie en utilisant un logiciel malveillant qui forçait les machines à distribuer des billets.

Lazarus a "effectivement transformé la Corée du Nord en plus grand braqueur de banques du monde", avait résumé en 2021 John Demers, l’ancien procureur général adjoint des États-Unis.

Et quand les banques n’ont plus suffi, Lazarus s’est attaqué aux plateformes d’échanges de cryptomonnaies. En 2018, ils ont ainsi pu piller Coincheck, un site japonais, amassant un butin de plus de 500 millions de dollars.

En près de 15 ans d’existence, Lazarus "a évolué en diversifiant le type d’attaques menées et en visant toujours davantage de cibles", résume Benjamin Read. C’est devenu une véritable machine à gagner illégalement de l’argent ou à punir les ennemis de Kim Jong-un.

S’il est difficile de savoir combien de cybersoldats travaillent ainsi pour Lazarus, "cela se compte en milliers", assure Jean-Ian Boutin. Dans une présentation faite en septembre 2021, le renseignement britannique estimait que plus de 6 000 hackers travaillaient pour cette structure. Et ils ne travaillent pas tous depuis la Corée du Nord, où l’accès à Internet est limité. Lazarus est soupçonné d’avoir des antennes en Chine, en Biélorussie, en Russie, en Inde ou encore en Malaisie, selon les services de renseignement britanniques.

C’est donc une organisation qui a tout d’une pieuvre aux multiples ramifications, et que n’importe quel méchant d’un film de James Bond aimerait diriger. Sauf qu’il s’agit bel et bien de la réalité et qu’il n’y a pas de 007 à l’horizon.

France 24