Quelques jours après l’attaque simultanée de 101 banques dans 31 pays, les experts en sécurité informatique de BAE Systems ont mis la main sur l’identité des auteurs. Ces derniers font partie du groupe de pirate Lazarus. Plusieurs faits ont permis de prouver leur implication dans cette affaire, malgré leur effort pour faire porter le chapeau aux pirates russes.
Lazarus : trahi par l’outil de traduction en ligne
Apparu en 2009, les pirates de Lazarus se sont rendus célèbres par leur exploit contre Sony Pictures Entertainement en 2014. Depuis ce temps, leur groupe n’a cessé de multiplier ses attaques sous différentes identités. Dernièrement, en se prenant pour des Russes, ils sont parvenus à mettre la main sur 101 banques dans 31 pays différents. Mais cette fois, ils n’ont pas pu cacher longtemps leur identité. BAE systems a en effet découvert l’empreinte d’un outil de traduction en ligne dans l’écriture en russe des codes du malware qu’ils ont utilisés lors de l’attaque. Des inconvenances de traductions ont transformé la signification entière des phrases, permettant à ce spécialise d’affirmer que les auteurs des attaques essaient seulement d’en faire porter les responsabilités aux Russes.
Cette découverte a permis aux autorités d’attribuer au groupe Lazarus certaines attaques de cybercriminalités perpétrées dans le passé, notamment, celles qui ont touché une centaine de banque et institution financière dans le monde et en Pologne. Celui-ci est également connu comme étant responsable de l’attaque de la banque centrale du Bangladesh qui a occasionné des pertes considérables à l’institution.
Lazarus : des pirates nord-coréens ?
Outre ces preuves tangibles, des détails techniques tentent également d’impliquer le groupe de pirate dans plusieurs autres cas de cybercriminalité dans le monde. Celui-ci pourrait également être l’auteur des attaques dirigées contre les États fédéraux et organisations privées en Corée du Sud et aux États-Unis. À cela s’ajoute le hacking contre Sony Pictures Entertainement en 2014.
Jusqu’ici, aucun signe apparent ne permet de reconnaître les vraies identités des membres de Lazarus. Le FBI ainsi que d’autres bureaux de renseignements américains, après avoir innocenté les Russes, pense que les adhérents sont majoritairement des Nord coréens.
Pourtant, plusieurs pirates ou groupes de hackers russes se font passer pour des spécialistes des banques. Afin de pouvoir s’infiltrer dans le réseau informatique des institutions et voler des millions, ces derniers emploient aussi les attaques de type spear-phishing. Face à cela, les experts en informatique de BAE Systems pensent alors que Lazarus essaie d’harmoniser ses styles avec ceux des cybercriminels russes.
Une attaque par point d’eau
La technique d’attaque par point d’eau a été utilisée par le groupe lors de certains de ses méfaits. Elle a été inventée pour infecter les ordinateurs des employés travaillant au sein d’une organisation ciblée ou d’un secteur d’activité très particulier. Elle consiste à infecter un site Internet authentique pour pouvoir infecter facilement l’ordinateur des visiteurs. Plusieurs sites de groupement professionnel ou association sectoriels mal sécurisés ont été utilisés pour contaminer les machines des membres qui viennent visiter en permanence. Une fois parvenus à infecter les outils des membres, les pirates arrivent à remonter jusqu’à leurs réseaux d’entreprise accédant ainsi au système tout entier pour réaliser les attaques. L’ANSSI affirme que l’attaque par point d’eau cible particulièrement les secteurs stratégiques.