Un groupe d’espionnage d’élite a utilisé 5 jours zéro pour pirater les Nord-Coréens

La plupart des Nord-Coréens ne passent pas une grande partie de leur vie devant un ordinateur. Mais certains des chanceux qui le font, semble-t-il, ont été frappés par un arsenal remarquable de techniques de piratage au cours de l’année dernière – une folie d’espionnage sophistiquée que certains chercheurs soupçonnent que la Corée du Sud a peut-être réussi.

Des chercheurs en cybersécurité du groupe d’analyse des menaces de Google aujourd’hui révélé qu’un groupe anonyme de pirates informatiques a utilisé pas moins de cinq vulnérabilités zero-day, des failles secrètes piratables dans les logiciels, pour cibler les Nord-Coréens et les professionnels de la Corée du Nord en 2019. Les opérations de piratage ont exploité les failles d’Internet Explorer, de Chrome et de Windows avec du phishing. courriels contenant des pièces jointes malveillantes ou des liens vers des sites malveillants, ainsi que des attaques dites de points d’eau qui ont semé des logiciels malveillants sur les machines des victimes lors de leur visite sur certains sites Web piratés pour infecter les visiteurs via leur navigateur.

Google a refusé de commenter qui pourrait être responsable des attaques, mais la société de sécurité russe Kaspersky a déclaré à WIRED qu’elle avait lié les conclusions de Google à DarkHotel, un groupe qui a ciblé les Nord-Coréens dans le passé et est soupçonné de travailler pour le compte du gouvernement sud-coréen. .

Les Sud-Coréens espionnent un adversaire du nord qui menace fréquemment de lancer des missiles à travers la frontière n’est pas inattendu. Mais la capacité du pays à utiliser cinq jours zéro dans une seule campagne d’espionnage en un an représente un niveau surprenant de sophistication et de ressources. “Il est rare de trouver autant d’exploits zero-day du même acteur dans un laps de temps relativement court”, écrit Le chercheur de Google TAG Toni Gidwani dans le blog de l’entreprise. “La majorité des cibles que nous avons observées provenaient de Corée du Nord ou d’individus qui travaillaient sur des questions liées à la Corée du Nord”, dans un e-mail de suivi, Google a précisé qu’un sous-ensemble des victimes n’était pas simplement de Corée du Nord, mais du pays, suggérant que ces cibles n’étaient pas des transfuges nord-coréens, que le régime nord-coréen cible fréquemment.

Quelques heures après que Google a lié les vulnérabilités zero-day aux attaques ciblant les Nord-Coréens, Kaspersky a pu associer deux des vulnérabilités – une dans Windows, une dans Internet Explorer – avec celles qu’il a spécifiquement liées à DarkHotel. La firme de sécurité avait déjà vu ces bogues exploités pour planter des logiciels malveillants DarkHotel connus sur les ordinateurs de leurs clients. (Ces attaques liées à DarkHotel se sont produites avant que Microsoft corrige ses failles, dit Kaspersky, suggérant que DarkHotel ne se contentait pas de réutiliser les vulnérabilités d’un autre groupe.) Puisque Google a attribué les cinq jours zéro à un seul groupe de pirates, “il est fort probable que tous les ils sont liés à DarkHotel », explique Costin Raiu, chef de l’équipe de recherche et d’analyse mondiale de Kaspersky.

Raiu souligne que DarkHotel a une longue histoire de piratage des victimes nord-coréennes et chinoises, en mettant l’accent sur l’espionnage. “Ils sont intéressés à obtenir des informations telles que des documents, des e-mails, à peu près n’importe quel peu de données qu’ils peuvent de ces cibles”, dit-il. Raiu a refusé de spéculer sur le gouvernement du pays qui pourrait être derrière le groupe. Mais DarkHotel est largement soupçonné de travailler au nom du gouvernement sud-coréen et du Council on Foreign Relations nomme le sponsor d’État présumé de DarkHotel République de Corée.

Les pirates de DarkHotel seraient actifs depuis au moins 2007, mais Kaspersky a donné son nom au groupe en 2014 lorsqu’il a découvert que le groupe compromettait les réseaux Wi-Fi des hôtels pour mener des attaques très ciblées contre des clients spécifiques de l’hôtel en fonction de leur numéro de chambre. . Au cours des trois dernières années seulement, Raiu a déclaré que Kaspersky avait trouvé DarkHotel en utilisant trois vulnérabilités zero-day au-delà des cinq désormais liées au groupe sur la base du blog de Google. “Ils sont probablement l’un des acteurs les plus ingénieux au monde en ce qui concerne le déploiement de zero days”, explique Raiu. “Ils semblent faire tout cela en interne, sans utiliser de code provenant d’autres sources. Cela en dit long sur leurs compétences techniques. Ils sont très bons.”