Cybersécurité : Des hackers nord-coréens ont ciblé des infrastructures critiques dans huit pays

“APT45 est un opérateur cyber nord-coréen existant depuis longtemps et relativement sophistiqué, qui a mené des campagnes d’espionnage depuis 2009” : dans un rapport publié ce 25 juillet, la société américaine de cybersécurité Mandiant – et filiale de Google – décrit le fonctionnement de ce groupe de menace avancée, qui a ciblé les infrastructures critiques de huit pays différents, dont la France.

Un groupe qui serait lié au service de renseignement d’élite nord-coréen

Ce groupe, autrement connu sous les noms de “Andariel”, “Onyx Sleet”, “Stonefly” et “Silent Cholima”, soutient les intérêts du régime nord-coréen. Au total, APT45 a ciblé des infrastructures en Corée du Sud, en France, en Allemagne, au Royaume-Uni, aux États-Unis, au Brésil, au Nigeria et en Inde. Les sites visés n’ont pas tous été précisés, mais concernent plus d’une quinzaine de secteurs, dont la chimie, la défense, l’énergie, les transports ou encore les télécoms.

Au même titre que d’autres groupes de menace affiliés à l’État nord-coréen, les activités malveillantes d’APT45 ont changé d’échelle lorsque la stratégie du régime a évolué. Mandiant a observé, à partir d’échantillons de malware, une présence du groupe de hackers depuis 2009. Or en 2017, le gang semble s’être concentré sur les agences gouvernementales et les infrastructures de défense, avant de basculer deux ans plus tard sur des industries nucléaires et l’énergie. Des secteurs sur lesquels le régime de Pyongyang a exprimé un intérêt croissant. Mandiant estime avec un “degré de confiance modéré” qu’APT45 est lié au Reconnaissance General Bureau (RGB) de l’État nord-coréen, son service de renseignement d’élite dédié aux opérations clandestines.

Les secteurs du nucléaire et de la santé particulièrement ciblés

En 2019, APT45 a ainsi ciblé des centrales nucléaires et infrastructures de recherche, comme la centrale de Kudankulam, au sud de l’Inde. À l’époque, l’attaque avait été attribuée par plusieurs chercheurs au groupe Lazarus, une unité dirigée par le gouvernement nord-coréen. Mandiant relève également le long ciblage d’établissements de santé et du secteur pharmaceutique, au-delà de l’épidémie de Covid-19, laissant penser que de nouvelles attaques dans ces domaines pourraient se produire. Un comportement qui diffère d’autres groupes de cybercriminels affiliés au régime de Kim Jong-un, comme TEMP.Hermit et APT43.

D’un point de vue technique, APT45 s’appuie sur des outils accessibles au public, comme 3proxy, des malwares modifiés à partir de systèmes de collecte de données et d’autres malwares personnalisés. Une bibliothèque d’outils malveillants différente des autres groupes de menace nord-coréens.

Une faculté à déployer des ransomwares

La particularité d’APT45 réside enfin dans sa faculté à déployer des ransomwares. Mandiant soupçonne plusieurs groupes de ransomware d’être affiliés à APT45, utilisant plusieurs stratagèmes pour collecter de l’argent. En 2021, Kaspersky a affirmé avoir identifié un ransomware suivi par Mandiant sous le nom de “ShatteredGlass”, déployé par des groupes affiliés à APT 45. C’est aussi le cas du ransomware “Maui”, sur lequel l’agence de cybersécurité américaine (CISA) a mis en garde en 2022, visant les établissements de santé publics et privés.