Des pirates Nord-coréen ont visé plusieurs représentants de l'ONU avec des tentatives de phishing personnalisées. Un d'entre eux c'est même fait passer pour un journaliste du Washington Post.

Dans un rapport de 211 pages du conseil de sécurité de l’ONU sur les activités nord-coréenne, on peut lire quelques détails sur des cyberattaques attribuées à Pyongyang. Repéré par ZDNet, le passage met en cause Kimsuky, un gang de hackers désigné comme APT (« advanced persistent threat »), un de ces groupes œuvrant pour le compte d’un État (ici, la Corée du Nord). C’est un État membre de l’ONU, non cité, qui a documenté les tentatives.

Kimsuky s’est spécialisé dans le « spear-phishing », autrement appelé « harponnage ». Il vise un petit nombre d’individus avec des messages taillés sur mesure pour chaque cible, envoyés par email ou sur WhatsApp. L’objectif de l’opération est de dérober des identifiants grâce à de fausses pages de connexion, ou de faire télécharger un malware, selon les tentatives. À la clé : l’accès à des comptes fournis en informations stratégiques, que le gouvernement nord-coréen pourrait exploiter.

Pour convaincre ses cibles, le groupe crée de faux messages d’alerte similaires à ceux envoyés par l’ONU, ou bien se fait passer pour des journalistes. Dans son rapport, le conseil de sécurité expose la capture d’une tentative envoyée sur WhatsApp :

« Bonjour, c’est [le nom a été barré] , journaliste assistant au Washington Post. Je suis responsable de la couverture de l’actualité liée aux Corée du Sud et du Nord. Je voulais vous proposer une interview vidéo. N’hésitez pas à me contacter. Dans l’attente de vous rencontrer. »

L’ONU a publié deux messages de phishing envoyés par les cybercriminels. // Source : ONU

Le message reprend des formulations classiques d’un message de demande d’interview, et le poste d’« assistant » permet de justifier l’absence, ou le peu de traces en ligne, du nom du prétendu journaliste.

28 représentants visés, une campagne toujours en cours

Ces techniques de phishing ont visé 28 représentants de l’ONU entre mars et avril. Parmi elles, 11 personnes issues de 6 pays différents siègent au conseil de sécurité, qui observe en détail l’évolution des essais nucléaires nord-coréens et le respect des sanctions internationales. Et ce n’est pas tout : Kimsuki se serait aussi attaqué aux membres du gouvernement du pays qui a rapporté l’information.

Ce n’est pas la première fois que l’ONU pointe les activités de Kimsuky, et en 2019, l’Anssi, l’agence française de référence sur la cybersécurité, s’était aussi penché sur son cas. À l’époque, le groupe avait visé les représentants de cinq pays, dont la France, la Belgique et la Chine.

D’après l’ONU, la campagne de Kimsuky n’est toujours pas terminée, même si elle a connu un pic en avril. La Corée du Nord, via ses groupes de cybercriminels affiliés comme Kimsuly ou Lazarus, continue de lorgner les informations stratégiques, qu’elles émanent du Conseil de Sécurité ou du Haut-Commissariat aux droits de l’Homme.

Le panel du conseil de sécurité ne compte pas se laisser faire : «  nous réitérons notre propos que ces cyberattaques, qu’elles soient passées ou en cours, contre les organes mandatés pour surveiller l’implémentation des sanctions infligées par l’ONU, doivent être envisagées comme des tentatives d’évasion aux sanctions, au vu de la persistance de ces attaques. »

Partager sur les réseaux sociaux