Un groupe de piratage nord-coréen attaque l'industrie de la défense israélienne

TEL AVIV – Israël a affirmé mercredi avoir déjoué une cyberattaque d'un groupe de piratage nord-coréen sur son industrie de défense classifiée.

Le ministère de la Défense a déclaré que l'attaque avait été déviée «en temps réel» et qu'il n'y avait eu «aucun dommage ni interruption» de ses systèmes informatiques.

Cependant, les chercheurs en sécurité de ClearSky, la société internationale de cybersécurité qui a révélé l'attaque pour la première fois, ont déclaré que les pirates nord-coréens avaient pénétré dans les systèmes informatiques et étaient susceptibles d'avoir volé une grande quantité de données classifiées. Les responsables israéliens craignent que les données ne soient partagées avec l’allié de la Corée du Nord, l’Iran.

L’épisode ajoute Israël à la liste des pays et des entreprises qui ont été ciblés par l’unité de piratage nord-coréenne, connue des analystes de la sécurité privée sous le nom de Lazarus Group. Des responsables américains et israéliens ont déclaré que le groupe Lazarus, également connu sous le nom de Hidden Cobra, était soutenu par Pyongyang.

Les procureurs fédéraux américains ont démasqué des membres nord-coréens du groupe Lazarus dans une plainte pénale de 2018, selon laquelle le groupe travaillait pour le compte du Lab 110, une unité de renseignement militaire nord-coréenne.

La plainte a accusé le groupe de jouer un rôle dans l'attaque dévastatrice de ransomware de 2017 en Corée du Nord, connue sous le nom de «WannaCry», qui a paralysé 300 000 ordinateurs dans 150 pays; le cyber-vol de 81 millions de dollars en 2016 de la Bangladesh Bank; et la cyberattaque paralysante de 2014 à Sony Pictures Entertainment qui a entraîné la fuite d’e-mails de la direction et détruit plus des deux tiers des serveurs informatiques du studio.

Bien que le les antécédents du groupe sont mitigésSelon des responsables américains et britanniques qui suivent le groupe, l’armée croissante de la Corée du Nord, qui compte plus de 6 000 hackers, n’est devenue que plus sophistiquée et enhardie avec le temps.

Dans un rapport en avril dernier, des fonctionnaires du Département d'État, du Département de la sécurité intérieure, du Département du Trésor et de la F.B.I. a accusé la Corée du Nord d'utiliser de plus en plus les moyens numériques pour échapper aux sanctions et générer des revenus pour son programme d'armes nucléaires. Le rapport a également accusé la Corée du Nord de vendre ses pirates informatiques à d'autres cybercriminels et à des pays dans ce que l'on appelle le «piratage contre rémunération».

Un responsable de la sécurité israélien a déclaré qu'il y avait des craintes que les données volées soient utilisées non seulement par la Corée du Nord, mais par l'Iran.

Israël a combattu un cyberconflit croissant avec l'Iran ces derniers mois. Israël a déclaré qu'il avait déjoué une cyberattaque contre son infrastructure de l'eau en avril que les responsables ont déclaré viser élever le chlore à des niveaux dangereux alors que les Israéliens étaient mis en quarantaine chez eux avec le coronavirus.

Israël, qui a blâmé l'Iran, a riposté deux semaines plus tard avec une cyberattaque sur un port iranien qui a mis ses ordinateurs hors ligne et créé un trafic maritime de plusieurs kilomètres autour de l’installation portuaire iranienne de Shahid Rajaee début mai.

L’attaque nord-coréenne contre l’industrie de la défense israélienne a commencé avec un message LinkedIn en juin dernier, ont déclaré des chercheurs de ClearSky. Des hackers nord-coréens se faisant passer pour un chasseur de têtes de Boeing ont envoyé un message à un ingénieur senior d'une société appartenant au gouvernement israélien qui fabrique des armes pour l'armée et le renseignement israéliens.

Les hackers ont créé un faux profil LinkedIn pour le chasseur de têtes, Dana Lopp. Il y a en effet une vraie Mme Lopp, recruteur senior chez Boeing. Elle n'a pas répondu à un message mercredi.

Mme Lopp était l’une des nombreuses chasseuses de têtes de grandes sociétés de défense et d’aérospatiale – notamment Boeing, McDonnell Douglas et BAE Systems – que les pirates nord-coréens ont imité sur LinkedIn.

Après avoir établi le contact avec leurs cibles israéliennes, les pirates ont demandé une adresse e-mail ou un numéro de téléphone pour se connecter via WhatsApp ou, pour augmenter la crédibilité, ont suggéré de passer à un appel en direct. Certains de ceux qui ont reçu les appels, et que ClearSky a approché plus tard, ont déclaré que l'autre partie parlait anglais sans accent et semblait crédible.

Ce niveau de sophistication n'avait pas encore été démontré par Lazarus, ont déclaré les chercheurs. Les responsables israéliens ont émis l'hypothèse mercredi que la Corée du Nord pourrait avoir sous-traité une partie de ses opérations à des anglophones à l'étranger.

À un moment donné, les pirates ont demandé d'envoyer à leurs cibles une liste des exigences du poste. Ce fichier contenait des logiciels espions invisibles qui ont infiltré l’ordinateur personnel de l’employé et tenté de se faufiler dans des réseaux israéliens classifiés.

ClearSky a déclaré que les attaques, qui ont commencé au début de cette année, «ont réussi, selon notre évaluation, à infecter plusieurs dizaines d'entreprises et d'organisations en Israël» et dans le monde entier.

La campagne de piratage était une avancée notable par rapport à une précédente tentative de la Corée du Nord de pirater l'industrie de la défense israélienne l'année dernière. En 2019, ClearSky a signalé un effort quelque peu maladroit de Lazarus pour s'introduire dans les ordinateurs d'une société de défense israélienne en envoyant des courriels en hébreu cassé qui étaient probablement écrits avec une traduction électronique. Les e-mails ont immédiatement éveillé les soupçons et l'attaque a été stoppée.

Les pirates informatiques nord-coréens semblent avoir appris leur leçon et, à la mi-2019, ont commencé à utiliser LinkedIn et WhatsApp pour établir des contacts avec un certain nombre d'industries militaires en Occident, attaquer des entreprises aérospatiales et de défense en Europe et au Moyen-Orient. En août, un rapport des Nations Unies a déclaré que les pirates informatiques nord-coréens utilisaient des méthodes similaires pour suivre les responsables de l'organisation et des États membres.

Boaz Dolev, directeur général et propriétaire de ClearSky, a déclaré qu'à la suite de ces informations, la société avait commencé à voir des tentatives d'attaquer des sociétés de défense israéliennes. Il a rapidement trouvé les faux profils LinkedIn de Lazarus et les messages adressés aux employés des entreprises de défense israéliennes.

Les chercheurs de ClearSky ont découvert que, dans au moins deux cas, les pirates nord-coréens avaient installé des outils de piratage sur les réseaux israéliens. L'outil, connu sous le nom de cheval de Troie d'accès à distance, a été utilisé par des pirates nord-coréens lors de précédentes cyberattaques contre des banques turques et d'autres victimes, volant des mots de passe et d'autres données.

L'installation réussie a été un drapeau rouge, ont déclaré les chercheurs, que la Corée du Nord était plus loin dans les réseaux israéliens que les responsables ne l'ont laissé entendre.

«Lazarus de la Corée du Nord prouve une fois de plus sa grande capacité et son originalité dans ses méthodes d’ingénierie sociale et de piratage», a déclaré M. Dolev.

Plus la sécurité de l’entreprise est meilleure, a-t-il déclaré, plus les États-nations et les cybercriminels essaieront de cibler personnellement les employés via les réseaux sociaux et les attaques de phishing par courrier électronique.

«Les attaquants recherchent toujours de nouvelles vulnérabilités», a-t-il déclaré. Plus les défenses sont bonnes, «plus les attaques se concentreront sur les employés, leurs familles et le matériel informatique à domicile.»

Ronen Bergman a rapporté de Tel Aviv et Nicole Perlroth de Palo Alto, Californie.