Au fil des ans, les actions de Lazarus Group sont considérées par les acteurs de la cybersécurité comme du hacking « made in North Korea ». La montée en puissance du groupe de hackers démontre la place grandissante de ces experts en informatique dans l’appareil de l’Etat. Néanmoins, Lazarus Group ne défend pas seulement l’idéologie du régime de Pyongyang en s’attaquant à ses ennemis, il est aussi à l’origine de nombreux crimes financiers.
Quel est le point commun entre le ransomware Wannacry en 2017 et la cyberattaque contre Sony en 2014 ? Les deux ont marqué l’histoire de la cybersécurité de ces dernières années. De plus, ces attaques auraient été perpétrées par le même auteur : Lazarus Group. Ce groupe de cybercriminels multiplie les cibles depuis sa création, allant des institutions financières aux firmes multinationales comme Sony. Les enquêtes menées par différentes autorités gouvernementales dirigées par les États-Unis ont révélé l’implication de la Corée du Nord dans les agissements de ce groupe.
Lazarus Group : un groupe de hackers au service de la Corée du Nord
Ce groupe de hackers, tristement célèbre, porte bien des noms, comme APT 38, Hidden Cobra ou encore Guardians of Peace. Les experts en cybersécurité ont imputé à Lazarus Group plusieurs cyberattaques sophistiquées. Parmi ses cibles, on retrouve des institutions financières, des entreprises et des gouvernements.
Lazarus Group se fait connaître dans l’univers de la cybersécurité à partir de 2009. Ces cybercriminels s’appuient sur un mode opératoire particulier : l’espionnage, le sabotage puis le profit financier.
Le groupe entretient le flou quant à sa structure, sa hiérarchisation et ses actions. Néanmoins, les recherches des autorités gouvernementales menées par les États-Unis ont mené au gouvernement de la Corée du Nord.
En effet, plusieurs citoyens nord-coréens sont accusés par le ministère américain de la Justice de vols de crypto-monnaies entre 2014 et 2020. Toutes les preuves relient les inculpés à Lazarus Group. L’enquête a également permis d’établir un lien entre le régime de Pyongyang et le groupe.
Ce peu d’informations que l’on détient marque une avancée majeure pour comprendre les agissements des hackers. Les témoignages de transfuges du régime apportent d’autres renseignements. Le groupe Lazarus ferait partie du Bureau Général de reconnaissance sous le nom « Bureau de liaison 414 ». Il s’agit d’une division du renseignement militaire de la Corée du Nord.
Rappelons que le dirigeant Kim Jong-un considérait déjà la cyberguerre comme une « arme magique » en 2013. À l’époque, les agissements de Lazarus Group passaient encore discrètement.
Ceci explique pourquoi les principales cibles de Lazarus Group sont majoritairement des entités sud-coréennes et américaines. Néanmoins, le groupe a étendu son activité, lui valant une réputation à l’échelle internationale.
Le nombre de hackers qui composent le groupe est difficile à estimer. D’après un rapport du renseignement britannique en 2021, ils sont plus de 6 000 à travailler pour la structure. Sachant que la Corée du Nord ne dispose pas de toutes les infrastructures pour abriter ses talents, la plupart d’entre eux sont basés dans d’autres pays comme la Biélorussie, la Chine, la Malaisie ou encore l’Inde.
Le piratage de Sony : la première campagne à l’international
Le groupe était jusque-là plutôt discret avec ses campagnes d’espionnage d’entités en Corée du Sud. Le piratage des serveurs de Sony va le faire connaître sur la scène internationale. Une semaine après l’attaque, des centaines de documents internes de la multinationale japonaise sont dérobés. Des films d’essais de Sony Pictures se trouvent sur internet. Quelques jours plus tard, les salaires des dirigeants sont également divulgués publiquement.
Les employés de Sony ont reçu des messages menaçants provenant d’un groupe dénommé « Gardiens de la paix ». Celui-ci avertit qu’il ne s’agit là « que le début ». Les rumeurs ont commencé à circuler sur l’implication de la Corée du Nord, notamment le journal « Re/code », une accusation réfutée par le pays dans un premier temps.
Néanmoins, près d’un mois après l’attaque, le FBI révèle officiellement dans son rapport la responsabilité de Pyongyang.
Les conséquences sont désastreuses pour Sony Pictures, contraint d’annuler la projection de l’un de ses films : The Interview. Ce film satirique sur le dirigeant nord-coréen serait à l’origine de l’attaque.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Le plus grand vol de cryptomonnaie et braquage de banque de l’histoire
Lazarus Group se diversifie dans les crimes financiers à partir de 2015. Le régime compterait sur cette unité pour renflouer ses caisses. D’après un rapport de Kaspersky Lab en 2017, cette unité porte le nom de Bluenoroff et se spécialise dans les cyberattaques financières.
Banque du Bangladesh : 81 millions de dollars volés
La banque du Bangladesh figure parmi ses premières cibles. Dès janvier 2015, les employés de la banque ont reçu le CV d’un prétendu demandeur d’emploi. Il fallait télécharger le CV à partir d’un lien fourni. Le téléchargement par au moins un employé a permis aux hackers d’infecter le système par des virus cachés.
Grâce aux manœuvres d’ingénierie sociale et de compromission d’identité, les pirates ont dérobé l’accès au réseau Swift de la banque. Pendant plusieurs mois, les pirates ont réalisé plusieurs transactions frauduleuses.
Puis le problème d’imprimante s’est produit. Rappelons qu’il ne s’agit pas d’un appareil ordinaire. Elle imprimait les relevés des transferts entrants et sortants de la banque. Les employés ont reçu un message de la FED de New York stipulant que la banque du Bangladesh souhaitait vider son compte, soit un milliard de dollars. Les responsables voulaient aussitôt contacter la FED pour éclaircir la situation. Cependant, la FED avait déjà exécuté les présumées instructions provenant du Bangladesh. Le butin de ce cyberbraquage s’élève à 81 millions de dollars, démontrant la complexité des tactiques de Lazarus Group.
En 2018, le groupe organise également une vaste campagne de piratage des réseaux des distributeurs de billets. Les opérations lancées en Asie et en Afrique s’appuyaient sur un malware qui infectait le système des distributeurs, les forçant à sortir des billets.
Ronin Bridge : 540 millions de dollars de perte
Lorsque les banques n’ont plus suffi, Lazarus Group se tourne vers la cryptomonnaie dès 2017. Youbit, la place financière de cryptomonnaie sud-coréenne, subit des attaques majeures entraînant la perte de 4 000 bitcoins, l’équivalent de 70 millions de dollars à l’époque.
Un an plus tard, la bourse japonaise Coincheck est sa nouvelle cible. En 2018, le groupe a réussi à voler plus de 530 millions de dollars sur la plateforme.
Néanmoins, la sécurité s’est renforcée dans l’univers de la cryptomonnaie. Cela pousse les hackers à exploiter la faille humaine à travers l’ingénierie sociale. Ce qui apparaissait au départ comme une simple offre d’emploi sur LinkedIn cachait le plus grand braquage de l’histoire. En 2022, Ronin Bridge a déclaré le vol de 173 699 Éther ainsi que 25,5 millions de pièces en dollars, soit une valeur totale de 540 millions de dollars.
Les attaquants ont réussi à pirater les nœuds de validation de Ronin Bridge. Le transfert de fonds ne peut se réaliser qu’avec l’aval de cinq des neuf validateurs désignés. Ils ont réussi à dérober les clés cryptographiques de ces cinq personnes d’après Ronin. Au lieu d’exploiter des failles techniques, les hackers se sont appuyés sur l’ingénierie sociale.
L’OFAC (office of foreign assets control) du Trésor américain a pu remonter à Lazarus Group via l’adresse Ethereum de l’un des pirates.
Au total, Lazarus Group a dérobé près de 3 milliards de dollars en cryptomonnaies entre 2017 et 2023. D’après un rapport de Chainalysis, les plateformes de finance décentralisée (DeFi) émergentes constituent les cibles privilégiées des hackers.
