Un groupe d'élite de pirates informatiques nord-coréens a été identifié comme la source d'une vague de cyberattaques contre des banques mondiales qui a rapporté « des centaines de millions » de dollars, ont déclaré mercredi des chercheurs en sécurité.

Un rapport de la société de cybersécurité FireEye a déclaré que le groupe nouvellement identifié, baptisé APT38, est distinct mais lié à d'autres opérations de piratage nord-coréennes, et a pour mission de récolter des fonds pour le régime isolé de Pyongyang.

Les chercheurs de FireEye ont déclaré qu'APT38 est l'une des nombreuses cellules de piratage au sein d'un groupe de coordination connu sous le nom de "Lazarus, " mais avec des compétences et des outils uniques qui l'ont aidé à mener à bien certains des plus grands cyber braquages ​​au monde.

"C'est un groupe de cybercriminels avec les compétences d'une campagne de cyberespionnage, " a déclaré Sandra Joyce, Vice-président du renseignement de FireEye, lors d'un briefing avec des journalistes à Washington.

Joyce a déclaré que l'une des caractéristiques de l'APT38 est qu'il prend plusieurs mois, parfois près de deux ans, pénétrer et apprendre le fonctionnement de ses cibles avant ses attaques, qui ont cherché à transférer illégalement plus d'un milliard de dollars des banques victimes.

"Ils prennent leur temps pour apprendre les subtilités de l'organisation, " dit Joyce.

Une fois qu'ils réussissent, elle a ajouté, "ils déploient des logiciels malveillants destructeurs sur leur chemin" pour cacher leurs traces et rendre plus difficile pour les victimes de découvrir ce qui s'est passé.

Sentiment d'urgence

Joyce a déclaré que FireEye avait décidé de rendre publique la menace par "sentiment d'urgence" car le groupe semble toujours fonctionner et n'est "découragé par aucun effort diplomatique".

Le groupe a compromis plus de 16 organisations dans au moins 11 pays différents depuis au moins 2014, selon le rapport FireEye.

Certaines des attaques connues ont visé la banque vietnamienne TP en 2015, Banque du Bangladesh en 2016, Far Eastern International Bank of Taiwan en 2017 et Bancomext du Mexique et Banco de Chile en 2018.

Joyce a déclaré que le groupe semble avoir « la portée et les ressources d'un État-nation », mais n'a fourni aucun chiffre précis sur le nombre de personnes qu'il utilise.

Nalani Fraser, membre de l'équipe de recherche FireEye, a déclaré que les attaques APT38 cherchaient au moins 1,1 milliard de dollars depuis 2014 et ont réussi à voler "des centaines de millions de dollars sur la base de données que nous pouvons confirmer".

FireEye a déclaré qu'il semble y avoir un certain partage des ressources entre les groupes de pirates en Corée du Nord, y compris ceux impliqués dans l'espionnage et ceux dans d'autres types d'attaques.

Mission ciblée

Certaines des informations sur APT38 ont été révélées dans une plainte pénale américaine descellée le mois dernier contre Park Jin Hyok, inculpé dans le cadre de l'épidémie de ransomware WannaCry et de l'attaque contre Sony Pictures.

Mais Park n'a probablement joué qu'un rôle périphérique dans APT38, qui « a pour mission ciblée de voler de l'argent pour financer le régime nord-coréen, " selon Joyce.

Le nouveau rapport de FireEye était basé en partie sur une analyse médico-légale qu'il a menée pour le FBI dans l'enquête sur Park, mais aussi à partir d'autres données que la société de sécurité a recueillies auprès de sa clientèle mondiale.

Les chercheurs ont déclaré qu'APT38 utilisait des techniques telles que les e-mails de « phishing » pour accéder aux informations d'identification et utiliser des « points d'accès » – des sites Web piratés qui semblent normaux mais qui contiennent des logiciels malveillants qui permettent aux pirates de collecter plus de données et d'y accéder.

Dans le cadre du régime, les pirates ont créé de fausses identités au sein d'organisations non gouvernementales ou de fondations connues pour aider à déplacer l'argent volé, dans certains cas, en manipulant le système mondial de virement interbancaire connu sous le nom de SWIFT.

Le rapport est le dernier à souligner une vaste et de plus en plus sophistiquée cyber-campagne menée par la Corée du Nord à des fins politiques et financières.

En septembre, une plainte pénale de 176 pages contre Park a décrit ce que les responsables ont appelé "un vaste et audacieux plan du gouvernement nord-coréen visant à utiliser les intrusions informatiques comme moyen de soutenir les objectifs variés de leur régime".

Mardi, le département américain de la Sécurité intérieure a averti que la Corée du Nord est probablement à l'origine de logiciels malveillants utilisés pour pirater et voler de l'argent dans les guichets bancaires.

Le bulletin indique que les responsables pensent que le malware "Hidden Cobra" a permis à la Corée du Nord d'obtenir illégalement de l'argent à des guichets automatiques bancaires dans au moins 30 pays, principalement en Asie et en Afrique, depuis 2016.

© 2018 AFP