Mandiant a publié hier un billet résumant les informations obtenues sur un groupe malveillant nord-coréen baptisé APT45. On y apprend notamment que les activités du groupe ont commencé dès 2009, mais qu’elles ont largement évolué au fil du temps, passant notamment du cyberespionnage aux attaques par ransomwares.
La Corée du Nord possède de nombreux acteurs malveillants étatiques ou, d’une manière ou d’une autre, en lien avec le gouvernement nord-coréen. APT 37 (Ricochet Chollima), APT38 (BlueNoroff), APT43 (Kimsuky) ou encore Lazarus Group (TEMP.Hermit) font partie des exemples. Pour celles et ceux qui ne sauraient pas, APT signifie « Advanced Persistant Threat » et désigne « un type de piratage informatique furtif et continu, ciblant une entité spécifique », indique Wikipedia.
Mandiant vient de nommer une autre de ces menaces : APT45. Le groupe existe pourtant depuis au moins 2009, avec des noms tels que Andariel, Onyx Sleet, Stonefly et Silent Chollima. Phishing et exploitation de failles logicielles font partie de ses méthodes courantes.
Mais un profil et des intérêts changeants, ainsi que des différences avec les autres groupes étatiques de Corée du Nord, ont nécessité plus de temps pour caractériser la menace. En outre, si Mandiant estime avec « un degré de confiance élevé » que le groupe est parrainé par la Corée du Nord, il n’est que modérément certain de son attribution directe au Bureau général de reconnaissance (RGB), l’un des services de renseignement du pays.
Des activités très variées
Selon Mandiant, qui suit les activités d’APT45 depuis longtemps, le groupe exerce depuis au moins 2009. Initialement, il semble que l’acteur malveillant se soit surtout concentré sur des campagnes d’espionnage, particulièrement contre des agences gouvernementales et des industries de défense à partir de 2017. Un profil aligné avec la plupart des menaces persistantes avancées nord-coréennes.
Ce profil inclut généralement de l’espionnage sur la santé et le nucléaire, en lien avec les intérêts de la Corée du Nord. C’était particulièrement vrai pendant la crise du Covid-19, indique Mandiant. Dans le cas d’APT45 toutefois, ces opérations ont lieu depuis plus longtemps et continuent depuis la fin de la crise sanitaire. Pour l’éditeur (qui appartient à Google), cela « suggère un mandat permanent de collecte d'informations connexes ».
Bien que Mandiant ne puisse être sûr de l’attribution de toutes les attaques, celles-ci sont décrites comme techniquement sophistiquées, avec des malwares complexes et un camouflage avancé pour ses opérations. Pour preuve, Mandiant cite l’attaque en 2019 contre la centrale nucléaire de Kudankulam en Inde, via un malware nommé Dtrack (alias Valefor et Preft).
Une évolution vers le secteur financier
APT45 se distinguerait par une variabilité plus importante de ses activités et par un intérêt « présumé » pour les rançongiciels. Mandiant n’en est pas certain, mais les informations récoltées suggèrent qu’APT45 « se livre à des actes de cybercriminalité à motivation financière non seulement pour soutenir ses propres opérations, mais aussi pour générer des fonds destinés à d'autres priorités de l'État nord-coréen ».
La société de sécurité évoque le cas d’une organisation financière sud-coréenne attaquée en 2016, très probablement par APT45 à l’aide du malware RIFLE. Cinq ans plus tard, une banque sud-asiatique a été ciblée par une attaque de spear-phishing (harponnage), soit une attaque de phishing particulièrement ciblée et adaptée à la personne visée, sur la base de nombreuses informations précises collectées.
Mais même si cette évolution récente semble se renforcer, APT45 s’attaque a priori à presque tous les secteurs : agriculture, biotechnologies, chimie, défense, aérospatiale, éducation, énergie, gouvernements, santé, assurances, équipements médicaux, industrie pharmaceutique, transports, télécoms… Tout ce qui peut présenter un intérêt pour la Corée du Nord, selon ses besoins.
Un goût croissant pour les rançongiciels
Ces activités semblent soutenues par une utilisation croissante de ransomwares, bien que Mandiant ne puisse en être sûre. La société pointe ainsi l’utilisation du rançongiciel SHATTEREDGLASS en 2021 (signalé par Kaspersky) ou encore celle de MAUI en 2022 (signalé par la Cybersecurity and Infrastructure Security Agency américaine).
D’après les informations recueillies par la société de sécurité, APT45 utilise un mélange d’outils. Certains, comme 3PROXY, sont publiquement accessibles. D’autres sont des malwares, comme ROGUEEYE, dans des variantes modifiées pour s’adapter à d’autres besoins. D’autres encore sont des familles de logiciels malveillants entièrement personnalisées.
Selon Mandiant, la caractérisation d’APT45 a notamment pu se faire par l’exploitation d’une « bibliothèque d'outils malveillants relativement différents des autres groupes d'activité nord-coréens ». Le groupe a ainsi sa manière propre de réutiliser le code, de le personnaliser, a sa propre structure pour les mots de passe.
Dans tous les cas, la société de cybersécurité estime que les agissements du groupe sont largement dignes d’intérêt, car ils reflètent les priorités de Pyongyang.
Un pirate nord-coréen embauché par un spécialiste de la cybersécurité
Les explications sur APT45 ont été publiées alors que l’on apprenait une histoire rocambolesque : un pirate nord-coréen avait réussi à se faire passer pour un Américain grâce à une identité volée et à se faire embaucher chez KnowBe4, spécialisé dans les formations en cybersécurité. Sitôt arrivé dans l’entreprise, le nouvel arrivant avait essayé de charger des malwares dans l’infrastructure informatique.
L’histoire, que le fondateur et PDG de KnowBe4, Stu Sjouwerman, a qualifié « d’édifiante », n’a pas eu de graves conséquences. L’intrus n’a pas réussi son opération d’infiltration : « Aucun accès illégal n'a été obtenu et aucune donnée n'a été perdue, compromise ou exfiltrée sur les systèmes de KnowBe4 », a écrit Stu Sjouwerman dans un billet le 23 juillet.
Le pirate avait postulé pour un emploi d’ingénieur logiciel pour une équipe spécialisée en intelligence artificielle. L’identité affichée était valide et était accompagnée d’une photo « améliorée » par IA. Pour obtenir le poste, une vérification des antécédents a eu lieu, de même… que quatre entretiens vidéo. La personne qui se présentait devant la webcam ressemblait manifestement beaucoup à la photo et le terrain avait été soigneusement préparé.
« Nous avons publié l'offre d'emploi, reçu des CV, organisé des entretiens, vérifié les antécédents et les références de la personne, puis nous l'avons embauchée. Nous lui avons envoyé son poste de travail Mac, et dès qu'il a été reçu, il a immédiatement commencé à charger des logiciels malveillants », a déclaré KnowBe4.
Une enquête est en cours au FBI.
Commentaires (0)