HOPLIGHT : Une nouvelle tentative de la Corée du Nord pour devenir un régime de piratage informatique

Les tensions politiques entre la Corée du Nord (anciennement connue sous le nom de République populaire démocratique de Corée) et les États-Unis sont à un niveau record depuis que le dirigeant nord-coréen Kim Jong-un a révélé son intention de fabriquer des armes nucléaires, apparemment pour anéantir son "ennemis". Dernièrement, la Corée du Nord, sachant qu'elle ne peut pas simplement surpasser les États-Unis en termes de force militaire et d'économie, s'est tournée vers le détournement de réseau et les cyberattaques pour rendre les États-Unis vulnérables et tente régulièrement de pénétrer dans les fichiers et les informations du gouvernement. Les assaillants, qui prétendent être des organisations privées et n'avoir aucun lien avec le gouvernement nord-coréen, ont fait plusieurs tentatives contre des organisations privées et des institutions gouvernementales américaines. Ils sont même allés jusqu'à donner ouvertement des menaces d'attaques terroristes et de massacres si les responsables américains ne cèdent pas à leurs demandes. Une fois de plus, les cyberattaques apparemment financées par l'État de la Corée du Nord ont ciblé les agences gouvernementales américaines avec un nouveau malware baptisé HOPLIGHT. Qu'est-ce que HOPLIGHT peut faire et qu'est-ce que la Corée du Nord après cette période ?

Doit lire : Éléments constitutifs de la cybersécurité

Tentatives de cyberattaques nord-coréennes aux États-Unis

HOPLIGHT n'est pas la première fois que des cyberattaquants nord-coréens ciblent une entité ou une entreprise américaine. En fait, cela dure depuis près d'une demi-décennie maintenant; et tandis que le régime nord-coréen continue de nier avoir des informations sur ces attaques, c'est un fait mondialement connu que le régime les soutient régulièrement.

La première attaque majeure, qui a fait la une des journaux, a été le piratage de Sony Pictures, au cours duquel les attaquants ont piraté les serveurs et les réseaux de Sony Pictures, un studio de cinéma américain. L'attaque ciblait les e-mails personnels des chefs de studio, les fichiers de données, les scripts des sorties de films à venir et les détails de certains accords contractuels en cours. Les demandes étaient de bloquer la sortie de leur film The Interview, qui était une moquerie du dirigeant nord-coréen Kim Jong-un. Les friandises d'attentats terroristes lors de la projection du film ont forcé le studio à céder aux exigences. Le gouvernement des États-Unis a alors commencé une série d'enquêtes.

En 2017, un groupe de pirates appelé The Shadow Brokers a utilisé une vulnérabilité de Microsoft Windows pour mener des cyberattaques mondiales, détourner des serveurs et des comptes d'entreprise. Cette attaque par déni de service appelée Ransomware a violé plus de 200 000 ordinateurs dans le monde, et les attaquants ont exigé des rançons en crypto-monnaie pour révoquer leur blocus sur ces ordinateurs. C'est alors que le gouvernement américain a augmenté les enjeux de ses enquêtes en cours et a commencé à creuser à l'échelle internationale. Au moment où les responsables américains ont retracé les attaques en Corée du Nord et confirmé les accusations officielles, elle avait déjà subi d'autres attaques de détournement de ses services publics et de ses réseaux électriques.

Alors, qui étaient derrière ces attaques

Le gouvernement des États-Unis, le Federal Bureau of Investigation (FBI) et le Département américain de la sécurité intérieure (DHS) ont déclaré que ces attaques étaient soutenues par le groupe de renseignement coréen Reconnaissance General Bureau et orchestrées par le Bureau 121, dont le nom de code était le groupe Lazarus et appelé par beaucoup plus de noms. Le Bureau 121 serait une équipe d'experts en cybersécurité et de pirates informatiques formés, qui sont seuls responsables de mener de telles opérations de violation sur les nations « ennemies » de la Corée du Nord. Les enquêtes ont spécifiquement nommé Park Jin-hyok, un membre présumé du Bureau 121, qui a été le principal responsable de ces attaques. Et pendant ce temps, le régime nord-coréen a refusé l'existence d'un tel groupe et s'est abstenu de faire une déclaration officielle sur ces attaques.

HOPLIGHT : la dernière ligne d'attaques de logiciels malveillants nord-coréens

Le groupe nord-coréen de cyberattaques a maintenant publié un nouveau malware appelé HOPLIGHT, qui cible à nouveau les agences gouvernementales américaines pour obtenir des informations et des données. Bien qu'aucun compte rendu officiel d'une attaque HOPLIGHT contre une organisation privée ou publique n'ait encore été publié, le logiciel malveillant a été détecté et retracé jusqu'en Corée du Nord par l'équipe américaine de préparation aux urgences informatiques (CERT). Le FBI et le DHS ont publié des informations selon lesquelles ce nouveau logiciel malveillant agit comme un cheval de Troie et peut lire, modifier et déplacer des fichiers importants dans le système. Le logiciel malveillant a également la capacité d'injecter des codes de virus dans les processus réseau en cours d'exécution et de les terminer ou de les arrêter, ce qui peut créer des perturbations dans le travail des agences. De plus, le logiciel malveillant est capable de modifier les fichiers de registre, ce qui peut entraver les données stockées dans les réseaux des agences publiques.

Le CERT a publié les détails de neuf types de fichiers différents, dont la plupart sont des applications proxy, qui sont utilisés pour injecter HOPLIGHT dans les systèmes et les réseaux. Les proxies portent de faux certificats SSL et utilisent des serveurs de commande pour effectuer des opérations de violation.

HOPLIGHT est la nouveauté en ville

Depuis les attaques de Wannacry Ransomware, le CERT publie activement des rapports concernant les cyberattaques malveillantes et les éventuelles détections de logiciels malveillants afin d'avertir les agences et les organisations publiques. Et aucun de ces rapports n'a précédemment abordé quoi que ce soit comme HOPLIGHT et n'a inclus aucune adresse avec HOPLIGHT. Apparemment, HOPLIGHT n'a jamais été utilisé auparavant et est le logiciel malveillant le plus récent de la liste des logiciels malveillants du Bureau 121.

Pourquoi la Corée du Nord poursuit ses cyberattaques contre les agences américaines ?

La Corée du Nord est un petit régime de dictature, loin à l'est et n'est pas capable de prendre des nations suprêmes comme l'Amérique. Pas sur les fronts militaires du moins. La nation est entourée en mer par les forces navales américaines et a été constamment déclassée par les médias mondiaux en raison des intentions malveillantes du dirigeant nord-coréen Kim Jong-un contre la paix et la sécurité mondiales. De plus, la faiblesse du système éducatif et économique du pays a rendu la nation sans le sou et, par conséquent, les motifs de ces attaques ont également été des gains financiers. Et bien sûr, aucune nation ne peut faire de l'espionnage de front, alors qu'un cyber-attaquant est indétectable ou pourtant, impossible à appréhender hors de portée des forces de l'ordre. Ainsi, les cyberattaques et les failles de cybersécurité restent l'option la plus réalisable pour la Corée du Nord de s'impliquer activement dans l'acquisition d'informations et de renseignements, une pratique suivie par tous les autres pays dans l'espionnage.

Mais, comment la Corée du Nord est-elle capable de commettre ces violations ?

C'est une question très viable, étant donné que la Corée du Nord a été en mesure d'exécuter des attaques à fort impact, malgré la restriction d'une présence en ligne à grande échelle. La nation dispose de deux connexions Internet avec le monde extérieur, et pourtant, elle a réussi à devenir un cyber-attaquant mortel et assez puissant.

En effet, le régime a largement formé les jeunes à la cybersécurité et au piratage intensif. Selon les rapports d'enquête du DHS et du FBI, les jeunes garçons de Corée du Nord sont évalués sur leurs compétences mathématiques et logarithmiques et sont formés pour devenir des experts en piratage dans le cadre de projets financés par l'État. Un grand nombre de ces pirates informatiques qualifiés résident dans des pays étrangers, vivant sous couverture pour fournir des renseignements sur le terrain à la Corée du Nord.

Quelle est l'ampleur du problème ?

La dernière interférence HOPLIGHT nord-coréenne a cependant été détectée, ses menaces ne peuvent être ignorées si tôt. La Corée du Nord n'a pas été silencieuse depuis deux ans au sujet des attaques de cybersécurité et a même son implication dans l'une de ces attaques sous le déguisement de faux pourparlers et de silence sur le développement potentiel d'armes nucléaires. En fait, les attaques se sont poursuivies même après une rencontre officielle entre le président américain Trump et Kim Jong-un. Donc, le problème est assez gros et il ne semble pas disparaître de sitôt.

La Corée du Nord a déjà tenté des attaques directes par smash-and-grab auparavant, mais HOPLIGHT est une nouvelle forme d'espionnage pour la Corée du Nord, qui n'a encore officiellement ciblé aucune organisation.

Doit lire : Les données gouvernementales et militaires sont-elles à l'abri des cyberattaques ?

La réponse à la question de savoir si la Corée du Nord poursuivra ses mouvements avec HOPLIGHT ou si elle reculera à la lumière de la divulgation précoce de son nouveau malware ne peut pas encore être fixée. Cependant, avec des violations incessantes et des tentatives de piratage de la part de groupes soutenus par l'État, l'expertise de la Corée du Nord en matière de piratage doit être traitée.