Les principales menaces persistantes avancées (APT) de la Corée du Nord espionnent discrètement les sous-traitants de la défense sud-coréens depuis au moins un an et demi, infiltrant une dizaine d'organisations.
La police sud-coréenne a été libérée cette semaine les conclusions d'une enquête qui a révélé des campagnes d'espionnage simultanées menées par Andariel (alias Onyx Sleet, Silent Chollima, Plutonium), Kimsuky (alias APT 43, Thallium, Velvet Chollima, Black Banshee) et le groupe Lazarus au sens large. Les forces de l’ordre n’ont pas nommé les organisations de défense des victimes ni fourni de détails sur les données volées.
Cette annonce intervient un jour après que la Corée du Nord a mené sa tout premier exercice simulant une contre-attaque nucléaire.
Les APT de la RPDC persistent
Peu de pays sont aussi conscients des cybermenaces émanant d’États-nations étrangers que la Corée du Sud, et peu d’industries sont aussi conscientes que l’armée et la défense. Et pourtant, Kim est la meilleure il semble toujours trouver un moyen.
« Les menaces APT, en particulier celles émanant d'acteurs étatiques, sont notoirement difficiles à dissuader complètement », déplore M. Ngoc Bui, expert en cybersécurité chez Menlo Security. "Si une APT ou un acteur est très motivé, il y a peu d'obstacles qui ne peuvent finalement être surmontés."
En novembre 2022, par exemple, Lazarus a ciblé un entrepreneur suffisamment averti en matière de cybersécurité pour exploiter des réseaux internes et externes distincts. Cependant, les pirates ont profité de leur négligence dans la gestion du système reliant les deux. Premièrement, les pirates ont piraté et infecté un serveur réseau externe. Alors que les défenses étaient en panne pour un test de réseau, elles ont creusé un tunnel à travers le système de connexion réseau et jusqu'aux entrailles. Ils ont ensuite commencé à récolter et à exfiltrer des « données importantes » sur les ordinateurs de six employés.
Dans une autre affaire débutant vers octobre 2022, Andariel a obtenu les informations de connexion appartenant à un employé d'une entreprise qui effectuait la maintenance informatique à distance pour l'un des sous-traitants de la défense en question. À l'aide du compte piraté, il a infecté les serveurs de l'entreprise avec des logiciels malveillants et exfiltré des données relatives aux technologies de défense.
La police a également souligné un incident qui a duré d'avril à juillet 2023, au cours duquel Kimsuky a exploité le serveur de messagerie groupware utilisé par une entreprise partenaire d'une entreprise de défense. Une vulnérabilité a permis aux attaquants non autorisés de télécharger des fichiers volumineux envoyés en interne par courrier électronique.
Éteindre Lazare
Ce qui est utile aux autorités, explique Bui, c'est que « les groupes de la RPDC tels que Lazarus réutilisent fréquemment non seulement leurs logiciels malveillants mais aussi leur infrastructure réseau, ce qui peut être à la fois une vulnérabilité et un point fort dans leurs opérations. Leurs échecs OPSEC et la réutilisation de leurs infrastructures, combinés à des tactiques innovantes telles que l’infiltration d’entreprises, les rendent particulièrement intrigants à surveiller.
Les auteurs de chacune des violations de défense ont été identifiés grâce aux logiciels malveillants qu'ils ont déployés après la compromission, notamment les chevaux de Troie d'accès à distance (RAT) Nukesped et Tiger, ainsi qu'à leur architecture et à leurs adresses IP. Notamment, certaines de ces adresses IP remontent à Shenyang, en Chine, et à une attaque de 2014 contre la Korea Hydro & Nuclear Power Co.
"Les tentatives de piratage de la Corée du Nord ciblant les technologies de défense devraient se poursuivre", a déclaré la police nationale coréenne dans un communiqué. L'agence recommande aux entreprises de défense et à leurs partenaires d'utiliser une authentification à deux facteurs et de modifier périodiquement les mots de passe associés à leurs comptes, de séparer les réseaux internes des réseaux externes et de bloquer l'accès aux ressources sensibles pour les adresses IP étrangères non autorisées et inutiles.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
