La Corée du Nord a subi une vague d'attaque qui s'est appuyée sur cinq failles zero day. La découverte de ces vulnérabilités particulièrement efficaces, mais difficiles à trouver requiert des compétences techniques de pointe.

Un groupe de hacker d’élite semble avoir d’importants différends avec la Corée du Nord. Dans son dernier rapport, le Google Threat Analysis Group (TAG), une des unités de cybersécurité du géant américain, a identifié qu’un gang a lancé plusieurs vagues de cyberattaques contre la Corée du Nord.

Il a pour cela utilisé pas moins de cinq failles zero-day — un chiffre rare — sur Internet Explorer et Windows. Le TAG a précisé que ces opérations étaient menées par des hackers financés par un État, mais il n’a pas donné plus de précision son émetteur.

La Corée du Nord est d’habitude du côté des attaquants, mais elle est cette fois la victime. // Source : J.A. de Roo

Avec une faille 0-day, l’attaque fonctionne bien plus souvent

Les zero-day sont le nec plus ultra des failles de sécurité, car elles n’ont pas été découvertes auparavant. Ou du moins, parce que personne ne les a rendues publiques. En conséquence, l’éditeur du logiciel exploité ne peut pas réparer la vulnérabilité… car il ne sait même pas qu’elle existe. Sans protection spécifique pour les contrecarrer, les attaques zero-day ont de bien plus grands taux de réussite que les attaques connues, qui ont fait l’objet d’un patch de sécurité.

Elles sont dès lors des secrets bien gardés par les cyberdélinquants, mais aussi par certains services de renseignement. La plus connue des zero-day est probablement l’outil Eternal Blue, construit par la NSA pour exploiter une faille critique de Windows dans les années 2000, avant d’être copié par des hackers sous le nom Wannacry. Toutes les zero-day ne sont heureusement pas de cette ampleur, puisque le terme qualifie une temporalité, et non l’importance de la faille. Il peut y avoir des zero-day très difficiles à mettre en place, sur des logiciels très peu utilisés, ou avec des conséquences moindre.

Mais celles détaillées par Google sont importante. Elles affectent Internet Explorer, Chrome ou encore Windows, et permettent par exemple l’élévation de privilèges des utilisateurs (qui permet ensuite d’installer des logiciels malveillants à distance), la corruption de mémoire ou encore le vol d’information. Bref, de quoi lancer des manœuvres d’espionnage, sans que la cible ne puisse convenablement se protéger.

Un groupe coréen, financé par un état, à l’origine de l’attaque ?

Pour découvrir des zero-day critiques, il faut trouver les faiblesses restantes dans des logiciels mis à jour et renforcés sur un rythme hebdomadaire. Autant dire qu’il faut des connaissances de pointe. En exploiter une s’avère déjà compliqué, et en exploiter cinq simultanément est très rare. Le groupe qui a cyberattaqué de façon répétée la Corée du Nord a donc des moyens humains et financiers de haut niveau. Et c’est en partie pourquoi le TAG le range dans la catégorie des opérateurs soutenus par des États.

Les gouvernements délèguent certaines tâchent offensive ou d’espionnage à des groupes indépendants pour brouiller les pistes . Plutôt que d’utiliser les agences de renseignement pour lancer leurs cyberattaques et prendre le risque d’être clairement identifiés, ils passent leurs ordres à des groupes privés, contre financement. La Russie, par exemple, est une spécialiste de ce système : plusieurs groupes de hackers peuvent être mobilisés par le pouvoir, qui en plus de les financer, peut porter un regard laxiste sur leurs activités malveillantes.

Les cyberespions de DarkHotel soupçonnés d’avoir découvert les zero-day

Le plus souvent, les hackers passent par du hameçonnage personnalisé, pour pousser leurs victimes à télécharger des logiciels malveillants ou a communiquer des informations confidentielles. Les pirates financés par les États n’hésitent pas à multiplier les tentatives pour arriver à leurs fins.

Costin Raiu, le directeur de l’équipe de recherche de Kaspersky interrogé par Wired soupçonne DarkHotel , un groupe spécialisé dans le cyberespionnage, d’être à l’origine de l’attaque. « Ils créent toutes leurs attaques eux-mêmes, et n’utilisent pas de code issu d’autres sources. Cela en dit long sur leurs compétences techniques. Ils sont très forts ». L’entreprise de cybersécurité affirme que deux des cinq zero-day exploités ont été découverts par l’organisation, et Google affirme que les cinq ont été utilisées par le même acteur.

Si DarkHotel n’a pas revendiqué de nationalité, il a déjà été affilié au gouvernement de la Corée du Sud par le passé. Et forcément, le pays asiatique a de nombreuses raisons de s’en prendre à son voisin du Nord, également très actif dans le cyberespace.

Crédit photo de la une : Pexels

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux