Cybersécurité: La Corée du nord a pénétré l’industrie de la Défense – ClearSky
Contredisant Israël, la firme dit que des hackers de Lazarus ont volé des données sensibles auprès de "plusieurs douzaines" d'entreprises, selon le NY Times
Les chercheurs appartenant à une firme de sécurité qui avaient découvert en premier une attaque commise par des pirates nord-coréens contre les systèmes de défense israéliens ont estimé que ces actes de piratage avaient réussi, malgré les démentis du ministère de la Défense, a fait savoir le New York Times mercredi.
Les responsables de la Défense s’inquiètent de ce qu’une importante quantité de données classifiées qui ont été dérobées au cours de cette attaque ne soit transmise à l’Iran, l’un des alliés déterminant de Pyongyang, selon le journal.
Les autorités israéliennes de la Défense avaient indiqué que la cyberattaque du groupe Lazarus avait été déjouée et qu’aucune donnée n’avait été compromise.
Israël et l’Iran se livrent une guerre souterraine depuis des années qui a compris des épisodes de piratages hi-tech et des cyberattaques. L’Etat juif a annoncé avoir déjoué une cyberattaque majeure, au début de l’année, qui avait pris pour cible ses infrastructures d’eau, un acte qui avait été largement attribué à la république islamique, ennemi juré du pays.
Israël est pour sa part soupçonné d’avoir mené une attaque de représailles, deux semaines plus tard, qui avait visé les systèmes informatiques d’un port iranien.
L’opération de guerre via ordinateurs opposés la plus connue avait été l’introduction d’un ver informatique, Stuxnet, qui avait perturbé le programme nucléaire de l’Iran – une cyberattaque qui aurait été commise par les services de renseignement américain et israélien.
Dans l’article publié mercredi, les chercheurs de ClearSky disent que l’attaque émanant de la Corée du nord avait commencé au mois de juin dernier, lorsque les hackers s’étaient présentés initialement comme un chasseur de tête travaillant pour la compagnie aérospatiale Boeing et que, sous cette couverture, ils avaient envoyé un message à un ingénieur occupant un haut-poste dans une firme israélienne appartenant au gouvernement.
L’identité de l’ingénieur n’a pas été rendue publique.
Les hackers auraient créé de faux profils de recruteurs à un certain nombre d’occasions sur LinkedIn, les utilisant pour approcher leurs cibles dans les entreprises israéliennes.
Ensuite, les pirates auraient demandé un numéro de téléphone ou une adresse courriel – parvenant même parfois à s’entretenir directement avec leurs cibles au téléphone pour tenter de renforcer l’authenticité de l’offre d’emploi.
Les personnes ciblées ont raconté au New York Times qu’elles avaient alors échangé avec des personnes qui parlaient couramment l’anglais, sans le moindre accent. Les officiels israéliens ont déclaré au journal que cela pouvait signifier que certaines des opérations des pirates avaient pu être déléguées à des équipes installées hors des frontières de la Corée du nord.
Les hackers auraient alors demandé à leurs cibles s’ils pouvaient leur envoyer un courriel présentant une liste d’exigences pour le poste concerné – leur faisant alors parvenir un document contenant un logiciel-espion qui, en s’infiltrant dans l’ordinateur, tentait également d’avoir accès aux réseaux classifiés.
Ces actes de piratage « sont parvenus, à notre avis, à toucher plusieurs douzaines d’entreprises et d’organisations en Israël » et dans d’autres pays, a déclaré ClearSky au New York Times.
Le journal a indiqué qu’en 2019, ClearSky avait fait état d’une initiative de piratage de la part du groupe qui avait tenté de pénétrer les ordinateurs d’une compagnie israélienne appartenant à l’industrie de la Défense en envoyant des courriels en mauvais hébreu qui avaient semblé avoir été rédigés à l’aide d’un outil de traduction.
Boaz Dolev, directeur et propriétaire de ClearSky, avait raconté que sa firme avait alors découvert que des hackers nord-coréens avaient installé des outils de piratage sur les réseaux israéliens, un signe que les attaques devenaient plus sophistiquées.
« Le groupe Lazarus de Corée du nord prouve une fois encore sa forte capacité et son originalité dans ses méthodes de génie social et de piratage », avait commenté Dolev.
Le ministère israélien de la Défense a indiqué, mercredi, que la cyberattaque avait été déjouée et qu’aucune information sensible n’avait été compromise. Il a ajouté que cette tentative de piratage avait été découverte en temps réel et que ses réseaux n’avaient subi aucun « dommage », ni aucune « perturbation ».
Le nombre de responsables pris pour cibles n’a pas été précisé, pas plus que les bureaux de défense qui ont été exactement visés.
Le ministère de la Défense a fait savoir que les auteurs de la cyberattaque étaient « un groupe international appelé ‘Lazarus’, qui est soutenu par un pays étranger ».
Le groupe a pu être identifié ailleurs – et notamment par le Trésor américain – comme une branche des renseignements du régime nord-coréen.
Il a été déjà accusé d’avoir piraté Sony Pictures Entertainment en 2014 ainsi que d’être à l’origine de l’attaque au rançongiciel WannaCry en 2017, qui avait touché des centaines de milliers d’ordinateurs dans 150 pays.
Ivan Kwiatkowski, chercheur à Kaspersky, une entreprise de cybersécurité, a estimé que lors de son attaque présumée en Israël, Lazarus semblait avoir tenté de mener une opération de vol de technologie plutôt que de gain financier.
« C’est un développement très intéressant parce que nous avons tendance à voir Lazarus comme un acteur qui se concentrerait majoritairement sur la collecte de fonds », a-t-il déclaré. « Mais comme c’est le cas de tous les acteurs appuyés par un Etat, ses missions sont diverses – et je pense que c’est un premier exemple des centres d’intérêts du groupe ».