Les chercheurs de WithSecure™ ont établi le lien entre une série d'attaques et le groupe nord-coréen Lazarus.
Rueil-Malmaison - 02 février 2023 : Grâce en partie à une erreur de sécurité opérationnelle commise par les hackers, les chercheurs en sécurité de WithSecure™ (anciennement connu sous le nom de F-Secure Business) ont pu établir un lien entre une série de cyberattaques et le célèbre groupe Lazarus originaire de Corée du Nord.
Lazarus est un groupe APT (Advanced Persistent Threat) souvent considéré comme appartenant au bureau des renseignements extérieurs de la Corée du Nord. Les chercheurs ont révélé une nouvelle campagne de ce groupe, après une suspicion de ransomware dans une organisation protégée par la plateforme de sécurité WithSecure™ Elements.
Au cours de leur enquête, les chercheurs de WithSecure™ ont identifié plusieurs indices indiquant que l'attaque faisait partie d'une campagne plus vaste de collecte de renseignements, plutôt que d'un incident de ransomware.
Sur la base des indices recueillis, les chercheurs ont pu établir un lien entre la campagne en question et le groupe Lazarus. Ce groupe ciblait des centres de recherche médicale et des entreprises du secteur énergétique, à des fins d'espionnage.
Les chercheurs ont pu identifier plusieurs cibles de cette campagne de hacking, notamment : un organisme de recherche médicale, un producteur de technologies utilisées dans plusieurs secteurs (énergie, recherche, défense, santé), et le département d'ingénierie chimique d'une grande université de recherche.
« Nous soupçonnions au départ une tentative d'attaque par ransomware BianLian, mais les éléments que nous avons recueillis ont rapidement pointé dans une autre direction. Plus nous avons recueilli de preuves, plus nous avons été convaincus que l'attaque était menée par un groupe lié au gouvernement nord-coréen. Nous avons finalement pu conclure en toute confiance qu'il s'agissait du groupe Lazarus », a déclaré Sami Ruohonen, Senior Threat Intelligence Researcher chez WithSecure™.
« Au cours de notre enquête, nous avons constaté qu'il ne s'agissait pas d'un incident isolé, mais d'une campagne plus vaste au ciblage élargi. Il est très inhabituel de pouvoir attribuer une campagne aussi clairement à un groupe de hackers », ajoute Stephen Robinson, Senior Threat Intelligence Analyst chez WithSecure™.
Les chercheurs de WithSecure™ ont pu relier la campagne au groupe Lazarus en se basant sur les tactiques, techniques et procédures utilisées dans des attaques précédentes menées par Lazarus ou d'autres groupes associés à la Corée du Nord.
Les chercheurs ont toutefois constaté plusieurs évolutions notables par rapport aux activités précédentes du Groupe Lazarus :
● L'utilisation d'une nouvelle infrastructure, avec le recours exclusif à des adresses IP sans noms de domaine (en rupture avec les attaques précédentes).
● Une version modifiée du malware voleur d'informations Dtrack, utilisé par Lazarus Group et Kimsuky (un autre groupe associé à la Corée du Nord) lors d'attaques précédentes.
● Une nouvelle version du malware GREASE, utilisé pour créer de nouveaux comptes administrateurs avec des privilèges de protocole de bureau à distance, pour contourner les firewalls.
Les chercheurs ont relevé un indice décisif : sur les milliers d'adresses IP utilisées, l’une d’entre elles appartenait à la Corée du Nord, et cette IP s'est connectée un bref instant à un webshell contrôlé par les hackers. C'est ce qui a conduit les chercheurs à soupçonner une erreur manuelle commise par un membre du groupe.
Pour autant, comme le souligne Tim West, Head of Threat Intelligence chez WithSecure, ce type d'erreur ne doit pas inciter à baisser la garde.
« Malgré certains échecs opsec, le groupe a fait preuve d'un bon tradecraft et est parvenu à effectuer des actions réfléchies sur des endpoints soigneusement sélectionnés. Même avec des technologies de détection endpoints précises, les entreprises ne doivent pas relâcher leur vigilance pour répondre efficacement aux alertes et intégrer les renseignements sur les menaces. Elles doivent mener un Threat Hunting régulier pour rester protégées contre les hackers les plus redoutables », conclut-il.
Pour consulter l'étude dans son intégralité, rendez-vous sur : https://labs.withsecure.com/publications/no-pineapple-dprk-targeting-of-medical-research-and-technology-sector
Relations médias WithSecure™
Françoise Amon KOUTOUA
06 43 62 98 12
L’Agence RP
Justine Boiramier - justine@lagencerp.com - 06 50 31 86 24
Lucille Lavigne – lucille@lagencerp.com
Mélina Dahmane – melina@lagencerp.com
À propos de WithSecure™
WithSecure™ est le partenaire européen de référence en matière de cybersécurité depuis plus de 30 ans. Nous accompagnons les fournisseurs de services informatiques, les MSSP et des multinationales, qui nous font confiance, à travers des modèles commerciaux flexibles et adaptés au marché. Nous leur fournissons une cybersécurité axée sur les résultats, pour les protéger en toutes circonstances et garantir le bon fonctionnement de leurs activités. Notre protection basée sur l'IA sécurise les endpoints et protège les environnements cloud. Nos outils intelligents de détection et de réponse sont pilotés par des experts qui identifient les risques, assurent une recherche proactive des menaces et neutralisent les attaques en temps réel. Un service de consulting expert est également disponible pour les entreprises qui souhaitent renforcer leur résilience.
WithSecure™, anciennement F-Secure Corporation, a été fondée en 1988 et est cotée au NASDAQ OMX Helsinki Ltd.