Des hackers d’élite nord-coréens ont raflé « des centaines de millions » de dollars dans des banques

Un groupe de hackers d’élite nord-coréens est à l’origine d’une vague de cyberattaques contre des banques qui ont permis de récolter « des centaines de millions » de dollars pour le régime de Pyongyang, affirment des experts en sécurité informatique mercredi.

Ce groupe, baptisé APT38, est distinct des autres opérations de piratage informatique d’Etat menées par le régime mais il y est lié, affirme la société FireEye, dans un rapport publié mercredi, qui révèle l’existence de cette unité. Il a compromis plus de 16 organisations dans au minimum 11 pays du monde. Et les faits remontent au moins à 2014, détaille le rapport.

APT38 fait partie d’une entité plus large connue sous le nom de « Lazarus » mais avec un savoir-faire et des outils uniques à l’origine de certains des cyberbraquages les plus spectaculaires dans le monde. Le modus operandi de APT38 consiste à prendre son temps afin de bien connaître sa cible.

Le groupe patiente parfois pendant des mois voire plus d’une année « afin de connaître les subtilités de l’organisation », a expliqué Sandra Joyce, vice-président du renseignement de FireEye, à des journalistes à Washington.

Ensuite, « ils déploient un logiciel malveillant (malware) à leur sortie » pour dissimuler leurs traces, rendant plus difficile pour les victimes de comprendre ce qu’il s’est passé, a-t-elle ajouté. Selon les estimations de l’entreprise de cyberdéfense, APT38 aurait réussi à voler jusqu’à un milliard de dollars aux banques que la cellule ciblait.

– « Sentiment d’urgence » –

Sandra Joyce a souligné que FireEye avait décidé de rendre publique cette menace face au « sentiment d’urgence », le groupe semblant toujours très actif, malgré les tentatives de découragement. Parmi les attaques connues d’APT38 figurent celles de la TP Bank du Vietnam en 2015, la Banque du Bangladesh en 2016, la Far eastern international Bank of Taiwan en 2017, la Bancomext du Mexique et la Banque du Chili en 2018.

Le groupe APT38 dispose « d’un champ d’action et de ressources dignes d’un Etat », a commenté Mme Joyce sans toutefois révéler de chiffres. Les hackers auraient détourné au moins 1,1 milliard de dollars depuis 2014 et seraient parvenus à voler « des centaines de millions de dollars sur la base de données que nous pouvons confirmer », a expliqué Nalani Fraser, membre de l’équipe de recherches de FireEye.

Une partie des informations relatives à APT38 avaient été révélées le mois dernier lors d’une inculpation aux Etats-Unis d’un Nord-Coréen, Park Jin Hyok, accusé d’avoir mené pour le compte du régime de Pyongyang certaines des plus importantes cyberattaques des dernières années.

Des techniques sophistiquées

Ce programmateur informatique est poursuivi pour association de malfaiteurs en vue de conduire des fraudes informatiques et encourt jusqu’à 20 ans de prison.

Park Jin Hyok aurait néanmoins joué un rôle périphérique au sein d’APT38, dont « la mission est de voler de l’argent pour financer le régime nord-coréen », a indiqué Sandra Joyce.

APT38 a utilisé des techniques sophistiquées, ont estimé les chercheurs de FireEye, incluant le « hameçonnage » par mail (« phishing » en anglais), qui trompe les utilisateurs en leur offrant par exemple une assistance technique ou de faux espoirs de gains financiers pour avoir accès à leurs identifiants. Ils ont aussi recours à la technique de l’attaque de trou d’eau (« watering holes ») où le hacker étudie les habitudes de navigation avant d’attaquer là où les vulnérabilités ont été détectées.

Les hackers ont aussi notamment créé de fausses identités au sein d’organisations non gouvernementales connues ou de fondations, en manipulant dans certains cas le système de transfert d’argent interbancaire (Swift).