Posté le mars 5, 2019 à 21:29
LES CHERCHEURS DECOUVRENT QUE LA CORÉE DU NORD EST LIEE À L’ATTAQUE SHARPSHOOTER
Des liens ont été établis avec le groupe Lazarus de la Corée du Nord. Ces liens ont été découverts à partir d’une analyse effectuée sur le serveur.
Récemment, les forces de l’ordre ont confié à des chercheurs le travail d’analyse d’un serveur de commande et contrôle (C2). Ce faisant, les chercheurs ont récupéré des informations précieuses. Les informations ont trait aux entités à l’origine d’une campagne mondiale de cyberattaque. La campagne a été découverte en décembre 2018. Les chercheurs en cybersécurité de McAfee ont surnommé la campagne «Operation Sharpshooter».
Operation Sharpshooter vise la défense, l’énergie, les télécommunications, les services gouvernementaux et d’autres établissements dans le monde entier. Les attaques se concentrent principalement sur des cibles basées aux États-Unis. Cependant, des victimes dans d’autres zones ont également été retrouvées. L’Australie, le Royaume-Uni, la Russie et d’autres pays anglophones sont également concernés.
L’objectif principal du cyberattaque
L’objectif principal du réseau de piratage était le gouvernement et les départements de la défense. Au début, les chercheurs en cybersécurité n’ont pu établir qu’un léger lien entre la menace et les acteurs d’origine nord-coréenne. Ce lien a été établi grâce à Lazarus Group. Lazarus est un réseau de cyberespionnage bien connu. On pense qu’ils sont financés et parrainés par l’État. On sait aussi qu’ils se concentrent sur la collecte de renseignements précieux ainsi que sur la surveillance.
McAfee a découvert que les opérateurs de l’Operation Sharpshooter utilisaient un implant en mémoire. Ils ont utilisé cet implant pour télécharger Rising Sun, un composant secondaire. Rising Sun est une porte dérobée. Il ressemble beaucoup au même logiciel malveillant appelé Duuzer Trojan. Rappelons que le groupe Lazarus a mené une campagne en 2016 en utilisant ce même cheval de Troie Duuzer. Il est intéressant de noter que ce cheval de Troie Duuzer et le Rising Sun ont le même code source.
Un lien a également été établi entre le fameux piratage à l’encontre de Sony et Duuzer. Vous vous souviendrez qu’un officier de renseignement de la Corée du Nord avait été accusé par le ministère de la Justice des États-Unis (DoJ) pour ce même piratage de Sony. Le même officier est également lié à l’émergence du ransomware WannaCry en 2017.
Qu’est-ce que le gouvernement a fait d’inhabituel?
Un serveur C2 a été saisi par des agents du gouvernement. Cela a été considéré comme un geste inhabituel. Les chercheurs ont eu accès à ce dernier après la saisie. L’équipe a pu obtenir beaucoup de données et de code. C’était tout ce dont ils avaient besoin pour établir un lien très étroit avec le groupe Lazarus.
Lors de l’analyse, plusieurs opérations utilisant le serveur C2 ont été découvertes. Ces opérations ont toutes des liens avec Operation Sharpshooter. En outre, ils ont découvert des suggestions selon lesquelles ces attaques avaient déjà commencé depuis décembre 2018. En fait, il y a des traces de preuves qui vont jusqu’à septembre 2017.
Une campagne en cours, selon McAfee
McAfee a déclaré qu’il s’agissait d’une campagne en cours. Selon eux, il semble maintenant qu’ils se soient détournés de l’attention des entités gouvernementales pour se tourner vers les infrastructures de base et les services financiers. Aux États-Unis, au Royaume-Uni, en Turquie et en Allemagne, des cibles ont récemment été attaquées.
Une meilleure visibilité sur le fonctionnement de l’opération Sharpshooter est désormais assurée. Cette visibilité a été obtenue à partir du serveur saisi. Les attaques informatiques passées attribuées à Lazarus « ont en commun de multiples conceptions et chevauchements tactiques » avec cette campagne. De telles campagnes comprennent des stratagèmes qui impliquent des fausses offres de travail utilisant le hameçonnage.
Le principal backend du serveur C2 est écrit en ASP (Active Server Pages) et Hypertext Preprocessor (PHP). Depuis 2017, ils sont actifs. McAfee indique qu’il «semble être personnalisé et propre au groupe».
En outre, une liaison en Afrique a été découverte dans le serveur C2 saisi. Les adresses IP dans un bloc réseau ont été découvertes dans le code serveur du C2. Une ville en Namibie était l’endroit où les journaux ont été retrouvés. Les chercheurs pensent que cela pourrait indiquer comment les pirates ont testé leurs autres outils et implants localement. Par la suite, leurs attaques ont pris une dimension internationale.
McAfee pense qu’une sorte d’installation «en entreprise» est en place. Ils confirment cette affirmation, en particulier en ce qui concerne le Rising Sun. Cette configuration est la façon dont le logiciel malveillant et ses composants individuels sont développés indépendamment. Ensuite, ils sont ensuite implantés sur la charge utile principale. Les horodatages qui remontent à 2016 se trouvent sur ces implants et composants.
Conclusion de McAfee sur l’attaque
Le scientifique principal et l’ingénieur principal de McAfee est Christiaan Beek. Selon lui, «les preuves techniques ne suffisent souvent pas pour bien comprendre une cyberattaque, car elles ne fournissent pas toutes les pièces du puzzle. » Il a ensuite ajouté que «l’accès au code du serveur de commandement et de contrôle de l’adversaire est une opportunité rare. Ces systèmes fournissent des informations sur le fonctionnement interne de l’infrastructure des cyberattaques. Ils sont généralement saisis par les forces de l’ordre et rarement mis à la disposition des chercheurs du secteur privé. »
