Groupe Lazarus

Un article de Wikipédia, l'encyclopédie libre.

Le groupe Lazarus (également connu sous le nom de Guardians of Peace ou Whois Team[1],[2],[3] ) est un groupe de hackers prétendument dirigé par le gouvernement de la Corée du Nord. Si l’on sait peu de choses sur le groupe Lazarus, les chercheurs lui ont attribué de nombreuses cyberattaques entre 2010 et 2021. Il s'agit à l'origine un groupe criminel. Le groupe a ensuite été désigné comme une menace persistante avancée en raison de la nature intentionnelle, de la menace et du large éventail de méthodes utilisées lors de la conduite d'une opération. Les organisations de cybersécurité lui donnent également le nom de Hidden Cobra (utilisé par le Département américain de la sécurité intérieure pour désigner les cyberactivités malveillantes du gouvernement nord-coréen en général)[4],[5] et ZINC ou Diamond Sleet[6] (par Microsoft)[7],[8],[9]. Selon le transfuge nord-coréen Kim Kuk-song, l'unité est connue en Corée du Nord sous le nom de Bureau de liaison 414[10].

Le groupe Lazarus entretient des liens étroits avec la Corée du Nord[11],[12]. Le ministère américain de la Justice affirme que le groupe fait partie de la stratégie du gouvernement nord-coréen visant à « saper la cybersécurité mondiale… et à générer des revenus illicites en violation des… sanctions »[13]. La Corée du Nord profite de la conduite de cyberopérations car elle peut présenter une menace asymétrique avec un petit groupe d’opérateurs, en particulier pour la Corée du Sud[14].

Histoire[modifier | modifier le code]

La première attaque dont le groupe est responsable est connue sous le nom d'« Opération Troie », qui a lieu de 2009 à 2012. Il s’agit d’une campagne de cyberespionnage utilisant des techniques simples d’attaque par déni de service distribué (DDoS) pour cibler le gouvernement sud-coréen à Séoul. Ils sont également responsables d’attaques en 2011 et 2013. Il est possible qu’ils soient également à l’origine d’une attaque visant la Corée du Sud en 2007, mais cela reste incertain[15]. Le groupe Lazarus est également connu pour l'attaque de 2014 contre Sony Pictures. L’attaque de Sony a utilisé des techniques plus sophistiquées et a mis en évidence la progression du groupe au fil du temps.

Le FBI voulait un avis pour l'un des hackers du groupe Lazarus, Park Jin Hyok

Le groupe Lazarus aurait volé 12 millions de dollars à la Banco del Austro en Équateur et 1 million de dollars à la banque Tien Phong au Vietnam en 2015[16]. Ils ont également ciblé des banques en Pologne et au Mexique[17]. Le braquage de banque de 2016[18] comprenait une attaque contre la banque du Bangladesh, le groupe Lazarus a réussi à voler 81 millions de dollars américains lors de ce braquage. En 2017, le groupe Lazarus aurait volé 60 millions de dollars américains à la Banque internationale d'Extrême-Orient de Taiwan, bien que le montant réel volé ne soit pas clair et que la plupart des fonds aient été récupéré[17].

On ne sait pas avec exactitude qui se cache derrière ce groupe, mais les médias ont suggéré que le groupe avait des liens avec la Corée du Nord[19],[20],[17]. Kaspersky Lab a rapporté en 2017 que le groupe Lazarus a tendance à se concentrer sur les cyberattaques d'espionnage et d'infiltration, tandis qu'un sous-groupe au sein de leur organisation, que Kaspersky appelle Bluenoroff, est spécialisé dans les cyberattaques financières. Kaspersky a trouvé plusieurs attaques dans le monde entier et un lien direct (adresse IP) entre Bluenoroff et la Corée du Nord[21].

Cependant, Kaspersky a également reconnu que la répétition du code pouvait être un mauvais indice, une sorte de « fausse bannière » destinée à induire les enquêteurs en erreur et à imputer l’attaque à la Corée du Nord, étant donné que la cyberattaque mondiale du ver WannaCry a également copié les techniques de la NSA. Ce rançongiciel exploite une faille de la NSA connue sous le nom d'EternalBlue, qu'un groupe de pirates informatiques connu sous le nom de Shadow Brokers a rendu public en avril 2017[22]. Symantec a rapporté en 2017 qu'il était « très probable » que le groupe Lazarus soit à l'origine de l'attaque WannaCry[23].

2009 Opération Troie[modifier | modifier le code]

Le premier incident de piratage informatique majeur du groupe Lazarus a lieu le 4 juillet 2009 et déclenche le début de « l'opération Troie ». Cette attaque utilise les logiciels malveillants Mydoom et Dozer pour lancer une attaque DDoS à grande échelle, mais peu sophistiquée, contre des sites web américains et sud-coréens. La volée d'attaques touche environ trois douzaines de sites Web et place le texte "Memory of Independence Day" dans le master boot record (MBR).

Cyberattaque en Corée du Sud en 2013 (Opération 1Mission/DarkSeoul)[modifier | modifier le code]

Au fil du temps, les attaques de ce groupe deviennent plus sophistiquées ; leurs techniques et outils sont devenus mieux développés et plus efficaces. L'attaque de mars 2011, connue sous le nom de « Ten Days of Rain », vise les médias, les finances et les infrastructures critiques sud-coréennes et consiste en des attaques DDoS plus sophistiquées provenant d'ordinateurs compromis en Corée du Sud. Les attaques se sont poursuivies le 20 mars 2013 avec DarkSeoul, une attaque de type wiper qui cible trois sociétés de diffusion télévisuelles sud-coréennes, des instituts financiers et un fournisseur d'accès internet (FAI). À l’époque, deux autres groupes, appelés « NewRomanic Cyber Army Team et WhoIs Team », s’attribuent le mérite de cette attaque, mais les chercheurs ne savent pas que le groupe Lazarus est derrière cette attaque, à l’époque. Les chercheurs connaissent aujourd’hui le groupe Lazarus comme un supergroupe à l’origine des attaques perturbatrices[24].

Fin 2014 : brèche chez Sony[modifier | modifier le code]

Les attaques du groupe Lazarus culminent le 24 novembre 2014. Ce jour-là, un article sur Reddit est apparu indiquant que Sony Pictures avait été piraté par des moyens inconnus ; les auteurs se sont identifiés comme les « Gardiens de la paix ». De grandes quantités de données ont été volées et lentement divulguées dans les jours qui suivent l'attaque. Une interview avec une personne prétendant faire partie du groupe permet de savoir que ceux-ci siphonnaient les données de Sony depuis plus d'un an[25].

Les pirates ont pu accéder à des films inédits, aux scénarios de certains films, aux projets de futurs films, aux informations sur les salaires des dirigeants de l'entreprise, aux courriers électroniques et aux informations personnelles d'environ 4000 employés[26].

Enquête début 2016 : Opération Blockbuster[modifier | modifier le code]

Sous le nom d'« Opération Blockbuster », une coalition de sociétés de sécurité, dirigée par Novetta[27],[28], a pu analyser des échantillons de logiciels malveillants trouvés dans différents incidents de cybersécurité. Grâce à ces données, l’équipe a pu analyser les méthodes utilisées par les pirates. Ainsi ils ont pu lier le groupe Lazarus à un certain nombre d'attaques grâce à un modèle de réutilisation de code[29].

Cyber-braquage d'une banque du Bangladesh en 2016[modifier | modifier le code]

Le cyber-braquage de la Bangladesh Bank est un vol qui a eu lieu en février 2016. Trente-cinq instructions frauduleuses ont été émises par des pirates informatiques via le réseau SWIFT pour transférer illégalement près d'un milliard de dollars depuis le compte de la Federal Reserve Bank de New York appartenant à la Bangladesh Bank, la banque centrale du Bangladesh. Cinq des trente-cinq instructions frauduleuses ont réussi à transférer 101 millions de dollars américains, dont 20 millions de dollars américains étaient attribués au Sri Lanka et 81 millions de dollars américains aux Philippines. La Federal Reserve Bank de New York a bloqué les trente transactions restantes, pour un montant de 850 millions de dollars, en raison de soupçons suscités par une instruction mal orthographiée[30],[31]. Les experts en cybersécurité ont affirmé que le groupe Lazarus, basé en Corée du Nord, était à l'origine de l'attaque[32],[33].

Attaque du rançongiciel WannaCry de mai 2017[modifier | modifier le code]

L'attaque WannaCry est une cyberattaque massive de rançongiciel qui a frappé des institutions du monde entier, du NHS en Grande-Bretagne à Boeing et même aux universités en Chine le 12 mai 2017. L'attaque a duré 7 heures et 19 minutes. Europol estime qu'elle a touché près de 200 000 ordinateurs dans 150 pays, touchant principalement la Russie, l'Inde, l'Ukraine et Taiwan. Il s’agit de l’une des premières attaques à transiter par un ver cryptographique . Les cryptoworms sont une forme récente de virus informatique qui peut voyager entre ordinateurs en utilisant des réseaux, en exploitant le port TCP 445 [34] ). Pour être infecté, il n'est pas nécessaire de cliquer sur un mauvais lien : le malware peut se propager de manière autonome, depuis un ordinateur vers une imprimante connectée, puis au-delà vers des ordinateurs adjacents, éventuellement connectés au wifi, etc. La vulnérabilité du port 445 a permis que des logiciels malveillants se déplacent librement sur les intranets et infectent rapidement des milliers d'ordinateurs. L’attaque Wannacry a été l’une des premières utilisations à grande échelle d’un ver cryptographique[35].

Attaque[modifier | modifier le code]

Le virus exploite une vulnérabilité du système d'exploitation Windows, puis crypte les données de l'ordinateur en échange d'une somme en Bitcoin d'une valeur d'environ 300 $ pour obtenir la clé. Afin d’encourager le paiement, la demande de rançon double au bout de trois jours, et si elle n’est pas payée au bout d’une semaine, le malware supprime les fichiers de données cryptés. Le malware utilise un logiciel légitime appelé Windows Crypto, créé par Microsoft pour mélanger les fichiers. Une fois le cryptage terminé, le nom du fichier est accompagné de « Wincry », qui est la racine du nom Wannacry. Wincry est la base du cryptage, mais deux failles supplémentaires, EternalBlue et DoublePulsar, ont été utilisées par le malware pour en faire un cryptoworm. EternalBlue propage automatiquement le virus à travers les réseaux, tandis que DoublePulsar déclenche son activation sur l'ordinateur d'une victime. En d’autres termes, EternalBlue a obtenu le lien infecté vers votre ordinateur et DoublePulsar a cliqué dessus pour vous.

Le chercheur en sécurité Marcus Hutchins a mis fin à l'attaque lorsqu'il a reçu une copie du virus d'un ami d'une société de recherche en sécurité et a découvert un kill switch codé en dur dans le virus. Le logiciel malveillant incluait une vérification périodique pour voir si un nom de domaine spécifique était enregistré et ne procédait au cryptage que si ce nom de domaine n'existait pas. Hutchins a identifié cette vérification, puis a rapidement enregistré le domaine concerné à 15h03 UTC. Le malware a immédiatement cessé de se propager et d’infecter de nouvelles machines. C’était très intéressant et cela donne un indice sur qui a créé le virus. Habituellement, l’arrêt des logiciels malveillants prend des mois de combats entre les pirates et les experts en sécurité, cette victoire facile était donc inattendue. Un autre aspect très intéressant et inhabituel de l'attaque était que les fichiers n'étaient pas récupérables après le paiement de la rançon : seulement 160 000 $ ont été collectés, laissant croire que les pirates ne recherchaient pas l'argent.

La facilité du kill switch et le manque de revenus ont amené beaucoup de gens à croire que l’attaque était parrainée par l’État ; le motif n’était pas une compensation financière, mais simplement le chaos. Après l'attaque, les experts en sécurité ont retracé la vulnérabilité DoublePulsar jusqu'à la NSA des États-Unis, où la vulnérabilité avait été développé comme cyber-arme . La vulnérabilité a ensuite été volé par le groupe de hackers Shadow Brokers, qui a d'abord tenté de la vendre aux enchères, mais après avoir échoué, il l'a simplement distribué gratuitement. La NSA a ensuite révélé la vulnérabilité à Microsoft qui a publié une mise à jour le 14 mars 2017, un peu moins d'un mois avant l'attaque. Ce n'était pas suffisant. La mise à jour n'était pas obligatoire et la majorité des ordinateurs présentant cette vulnérabilité n'avaient pas résolu le problème le 12 mai 2017, ce qui a conduit à l'efficacité étonnante de l'attaque.

Conséquences[modifier | modifier le code]

Le ministère américain de la Justice et les autorités britanniques ont ensuite attribué l'attaque WannaCry au gang de hackers nord-coréen, le groupe Lazarus[13].

Attaques de crypto-monnaie en 2017[modifier | modifier le code]

En 2018, Recorded Future a publié un rapport liant le groupe Lazarus à des attaques contre les utilisateurs de crypto-monnaie Bitcoin et Monero, principalement en Corée du Sud[36]. Ces attaques sont techniquement similaires aux attaques précédentes utilisant le rançongiciel WannaCry et aux attaques contre Sony Pictures[37]. L'une des tactiques utilisées par les pirates informatiques de Lazarus consiste à exploiter les vulnérabilités du Hangul de Hancom, un logiciel de traitement de texte sud-coréen[37]. Une autre tactique consiste à utiliser des leurres de spear phishing contenant des logiciels malveillants et envoyés aux étudiants sud-coréens et aux utilisateurs d'échanges de crypto-monnaie comme Coinlink. Si l'utilisateur ouvre le logiciel malveillant, celui-ci vole les adresses e-mail et les mots de passe de l'utilisateur[38]. Coinlink a nié que les e-mails et les mots de passe de son site ou de ses utilisateurs aient été piratés[38]. Le rapport conclue que « cette campagne de fin 2017 s'inscrit dans la continuité de l'intérêt de la Corée du Nord pour les cryptomonnaies, dont nous savons maintenant qu'elles englobent un large éventail d'activités, notamment l'exploitation minière, les rançongiciels et le vol pur et simple... »[36] Le rapport indique également que La Corée du Nord utilise ces attaques de crypto-monnaie pour éviter les sanctions financières internationales[39].

Des pirates informatiques nord-coréens ont volé 7 millions de dollars à Bithumb, une bourse sud-coréenne en février 2017[40]. Youbit, une autre société sud-coréenne d'échange de Bitcoin, a déposé son bilan en décembre 2017 après que 17 % de ses actifs aient été volés par des cyberattaques à la suite d'une attaque antérieure, datant d'avril 2017[41]. Le groupe Lazarus et les pirates informatiques nord-coréens ont été accusés d'être responsables de ces attaques[42],[36]. Nicehash, un marché de cloud mining de cryptomonnaies, a perdu plus de 4 500 Bitcoins en décembre 2017. Une mise à jour sur l'enquête a affirmé que l'attaque est liée au groupe Lazarus[43].

Attaques de septembre 2019[modifier | modifier le code]

À la mi-septembre 2019, les États-Unis ont émis une alerte publique concernant une nouvelle version d’un malware baptisé ElectricFish[44]. Depuis le début de l'année 2019, des agents nord-coréens ont tenté cinq vols majeurs dans le monde, dont un vol réussi de 49 millions de dollars dans une institution au Koweït[44].

Attaques d’entreprises pharmaceutiques fin 2020[modifier | modifier le code]

En raison de la pandémie actuelle de COVID-19, les sociétés pharmaceutiques sont devenues des cibles majeures pour le groupe Lazarus. En utilisant des techniques d'hameçonnage, les membres du groupe Lazarus se sont fait passer pour des responsables de la santé et ont contacté des employés d'entreprises pharmaceutiques avec des liens malveillants. On pense que plusieurs grandes sociétés pharmaceutiques ont été ciblées, mais la seule qui a été confirmée est la société anglo-suédoise AstraZeneca. Selon un rapport de Reuters[45], un large éventail d’employés ont été ciblés, dont beaucoup impliqués dans la recherche sur le vaccin contre le COVID-19. On ne sait pas quel est l'objectif du groupe Lazarus dans ces attaques, mais les possibilités sont vastes :

  • Voler des informations sensibles pour les revendre à des fins lucratives.
  • Plans d'extorsion de fonds.
  • Donner aux régimes étrangers l’accès à des recherches exclusives sur le COVID-19.

AstraZeneca n'a pas commenté l'incident et les experts estiment qu'aucune donnée sensible n'a encore été compromise.[Quand ?][ à partir de ? ]

Attaques de janvier 2021 visant des chercheurs en cybersécurité[modifier | modifier le code]

En janvier 2021, Google et Microsoft ont tous deux rendu compte publiquement d'un groupe de pirates informatiques nord-coréens ciblant des chercheurs en cybersécurité via une campagne d'ingénierie sociale, Microsoft attribuant spécifiquement la campagne au groupe Lazarus[46],[47],[48].

Les pirates ont créé plusieurs profils d'utilisateurs sur Twitter, GitHub et LinkedIn en se faisant passer pour des chercheurs légitimes en vulnérabilités logicielles, et ont utilisé ces profils pour interagir avec les publications et le contenu créés par d'autres membres de la communauté de recherche en sécurité. Les pirates ciblent ensuite des chercheurs en sécurité spécifiques en les contactant directement et en leur proposant de collaborer à des recherches, dans le but d'amener la victime à télécharger un fichier contenant un logiciel malveillant ou à consulter un article de blog sur un site Web contrôlé par les pirates[48].

Certaines victimes qui ont consulté le blog ont signalé que leurs ordinateurs avaient été compromis malgré l'utilisation de versions entièrement corrigées du navigateur Google Chrome, ce qui suggère que les pirates pourraient avoir utilisé une vulnérabilité zero-day jusqu'alors inconnue affectant Chrome pour l'attaque[46]. Google a déclaré ne pas être en mesure de confirmer la méthode exacte de compromission au moment du rapport[47].

Attaque de mars 2022 sur le jeu en ligne Axie Infinity[modifier | modifier le code]

En mars 2022, le groupe Lazarus a été reconnu comme responsable du vol d'une valeur de 600 millions de dollars sur le réseau Ronin, un pont utilisé par le jeu Axie Infinity[49]. Le FBI a déclaré : « Grâce à nos enquêtes, nous avons pu confirmer que le groupe Lazarus et APT38, des cyberacteurs associés à [la Corée du Nord], sont responsables du vol »[50].

Attaque du pont Horizon en juin 2022[modifier | modifier le code]

Le FBI a confirmé que le groupe de cyberacteurs malveillants nord-coréen Lazarus (également connu sous le nom d'APT38) était responsable du vol de 100 millions de dollars de monnaie virtuelle sur le pont Harmony's Horizon, signalé le 24 juin 2022[51].

Attaques de crypto-monnaie en 2023[modifier | modifier le code]

Un rapport publié par la plate-forme de sécurité sur la blockchain Immunefi affirme que le groupe Lazarus est responsable de plus de 300 millions de dollars de pertes lors d'incidents de piratage cryptographique en 2023. Ce montant représente 17,6% des pertes totales de l'année[49].

Attaque du portefeuille atomique de juin 2023[modifier | modifier le code]

En juin 2023, plus de 100 millions de dollars en crypto-monnaie ont été volés aux utilisateurs du service Atomic Wallet[52], ce qui a ensuite été confirmé par le FBI[53].

Piratage de Stake.com de septembre 2023[modifier | modifier le code]

En septembre 2023, le FBI a confirmé qu'un vol de crypto-monnaie de 41 millions de dollars sur Stake.com, un casino et une plateforme de paris en ligne, avait été perpétré par le groupe Lazarus[54].

Sanctions américaines[modifier | modifier le code]

Le 14 avril 2022, l'OFAC du Trésor américain a placé le groupe Lazarus sur la liste SDN en vertu de l'article 510.214 du Règlement sur les sanctions contre la Corée du Nord[55].

Enseignement[modifier | modifier le code]

Les hackers nord-coréens sont envoyés professionnellement à Shenyang, en Chine, pour une formation spéciale. Ils sont formés pour déployer des logiciels malveillants de tous types sur des ordinateurs, des réseaux informatiques et des serveurs. Au niveau national, l'enseignement comprend l'Université de technologie Kim Chaek, l'Université Kim Il-sung et l'Université Moranbong, qui sélectionnent les étudiants les plus brillants de tout le pays et les soumettent à six années d'enseignement spécialisé[10].

Unités[modifier | modifier le code]

Lazare aurait deux unités[56],[57].

BleuNorOff[modifier | modifier le code]

BlueNorOff (également connu sous le nom de : APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE[58] ) est un groupe à motivation financière responsable des transferts illégaux d'argent via de faux ordres de SWIFT. BlueNorOff est également appelé APT38 (par Mandiant ) et Stardust Chollima (par Crowdstrike )[59],[60].

Selon un rapport de 2020 de l’armée américaine, Bluenoroff compte environ 1 700 membres qui se livrent à la cybercriminalité financière en se concentrant sur l’évaluation à long terme et en exploitant les vulnérabilités des réseaux et des systèmes ennemis pour obtenir un gain financier pour le régime ou pour prendre le contrôle du système[61]. Ils ciblent les institutions financières et les bourses de crypto-monnaie, dont plus de 16 organisations dans au moins 13 pays [note 1] entre 2014 et 2021 : Bangladesh, Inde, Mexique, Pakistan, Philippines, Corée du Sud, Taïwan, Turquie, Chili et Vietnam. On pense que les revenus serviront au développement de la technologie des missiles et du nucléaire[58],[57].

L'attaque la plus tristement célèbre de BlueNorOff a été le vol de la banque du Bangladesh en 2016, au cours duquel ils ont tenté d'utiliser le réseau SWIFT pour transférer illégalement près d'un milliard de dollars américains depuis le compte de la Federal Reserve Bank de New York appartenant à la Bangladesh Bank, la banque centrale du Bangladesh. Après la réalisation de plusieurs transactions (20 millions de dollars attribués au Sri Lanka et 81 millions de dollars américains aux Philippines ), la Banque fédérale de réserve de New York a bloqué les transactions restantes, en raison de soupçons suscités par une faute d'orthographe[57].

Les logiciels malveillants associés à BlueNorOff sont : " DarkComet, Mimikatz, Nestegg, Macktruck, WannaCry, Whiteout, Quickcafe, Rawhide, Smoothride, TightVNC, Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe, sysmon, Bootwreck, Cleantoad, Closeshave, Dyepack, Hermes, Twopence, Electricfish, Powerratankba et Powerspritz "[58].

Les tactiques couramment utilisées par BlueNorOff incluent : l'hameçonnage, les portes dérobées,[57] Drive-by compromis, Watering Hole Attack, l'exploitation de versions obsolètes et non sécurisées d'Apache Struts 2 pour exécuter du code sur un système, la compromission stratégique sur le Web et l'accès aux serveurs Linux[58]. On rapporte qu'ils travaillent parfois avec des pirates informatiques criminels[62].

AndAriel[modifier | modifier le code]

AndAriel (également orthographié Andarial[61], et également connu sous les noms : Silent Chollima, Dark Séoul, Rifle et Wassonite[58] ) se caractérise sur le plan logistique par son ciblage de la Corée du Sud. Le nom alternatif d'Ariel s'appelle Silent Chollima en raison de la nature furtive du sous-groupe[63]. Toute organisation en Corée du Sud est vulnérable à AndAriel. Les cibles incluent le gouvernement, la défense et toute entité économique[64],[65].

Selon un rapport de 2020 de l'armée américaine, Andarial compte environ 1 600 membres dont la mission est la reconnaissance, l'évaluation des vulnérabilités du réseau et la cartographie du réseau ennemi en vue d'une attaque potentielle[61]. Outre la Corée du Sud, ils ciblent également d’autres gouvernements, infrastructures et entreprises. Les vecteurs d'attaque incluent : ActiveX, les vulnérabilités des logiciels sud-coréens, les attaques par points d'eau, le spear phishing (macro), les produits de gestion informatique (antivirus, PMS) et la chaîne d'approvisionnement logistique (installateurs et mises à jour). Les logiciels malveillants utilisés incluent : Aryan, Gh0st RAT, Rifdoor, Phandoor et Andarat[58].

Actes d'accusation[modifier | modifier le code]

En février 2021, le ministère américain de la Justice a inculpé trois membres du Reconnaissance General Bureau, une agence de renseignement militaire nord-coréenne, pour avoir participé à plusieurs campagnes de piratage du groupe Lazarus : Jin Hyok, Jon Chang Hyok et Kim Il Park. Jin Hyok avait déjà été inculpé plus tôt en septembre 2018. Les individus ne sont pas détenus aux États-Unis. Un Canadien et deux Chinois ont également été accusés d'avoir agi comme mules et blanchisseurs d'argent pour le compte du groupe Lazarus[66],[67].

Notes et références[modifier | modifier le code]

Traduction[modifier | modifier le code]

Notes[modifier | modifier le code]

  1. "according to press reports, had successfully carried out such operations against banks in Bangladesh, India, Mexico, Pakistan, Philippines, South Korea, Taiwan, Turkey, Chile, and Vietnam"[57]

Références[modifier | modifier le code]

  1. « North Korea Designations; Global Magnitsky Designation », U.S. Department of the Treasury,  : « LAZARUS GROUP (a.k.a. "APPLEWORM"; a.k.a. "APT-C-26"; a.k.a. "GROUP 77"; a.k.a. "GUARDIANS OF PEACE"; a.k.a. "HIDDEN COBRA"; a.k.a. "OFFICE 91"; a.k.a. "RED DOT"; a.k.a. "TEMP.HERMIT"; a.k.a. "THE NEW ROMANTIC CYBER ARMY TEAM"; a.k.a. "WHOIS HACKING TEAM"; a.k.a. "ZINC"), Potonggang District... »
  2. (en) « Lazarus Group | InsightIDR Documentation », Rapid7 : « Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, Bureau 121, COVELLITE, Dark Seoul, GOP, Group 77, Guardian of Peace, Guardians of Peace, Hastati Group, HIDDEN COBRA, Labyrinth Chollima, Lazarus, NewRomantic Cyber Army Team, NICKEL ACADEMY, Operation AppleJesus, Operation DarkSeoul, Operation GhostSecret, Operation Troy, Silent Chollima, Subgroup: Andariel, Subgroup: Bluenoroff, Unit 121, Whois Hacking Team, WHOis Team, ZINC »
  3. (en) « NICKEL ACADEMY | Secureworks », secureworks.com : « Black Artemis (PWC), COVELLITE (Dragos), CTG-2460 (SCWX CTU), Dark Seoul, Guardians of Peace, HIDDEN COBRA (U.S. Government), High Anonymous, Labyrinth Chollima (CrowdStrike), New Romanic Cyber Army Team, NNPT Group, The Lazarus Group, Who Am I?, Whois Team, ZINC (Microsoft) »
  4. (en) « HIDDEN COBRA – North Korea's DDoS Botnet Infrastructure | CISA », us-cert.cisa.gov, CISA,
  5. « Lazarus Group, HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY, Group G0032 | MITRE ATT&CK® », MITRE ATT&CK, MITRE Corporation
  6. (en) « How Microsoft names threat actors », Microsoft (consulté le )
  7. (en-US) « Microsoft and Facebook disrupt ZINC malware attack to protect customers and the internet from ongoing cyberthreats », Microsoft on the Issues, (consulté le )
  8. (en) « FBI thwarts Lazarus-linked North Korean surveillance malware », IT PRO (consulté le )
  9. (en) « North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign », Recorded Future,
  10. a et b (en-GB) « Drugs, arms, and terror: A high-profile defector on Kim's North Korea », BBC News,‎ (lire en ligne, consulté le )
  11. « Who is Lazarus? North Korea's Newest Cybercrime Collective », www.cyberpolicy.com (consulté le )
  12. (en-US) Beedham, « North Korean hacker group Lazarus is using Telegram to steal cryptocurrency », Hard Fork | The Next Web, (consulté le )
  13. a et b (en) « North Korean Regime-Backed Programmer Charged With Conspiracy to Conduct Multiple Cyber Attacks and Intrusions », www.justice.gov, (consulté le )
  14. (en-GB) « BBC World Service - The Lazarus Heist, 10. Kill switch », BBC (consulté le )
  15. « Security researchers say mysterious 'Lazarus Group' hacked Sony in 2014 », The Daily Dot, (consulté le )
  16. « SWIFT attackers' malware linked to more financial attacks », Symantec, (consulté le )
  17. a b et c (en) « Lazarus: North Korean hackers suspected to have stolen millions in Taiwan bank cyberheist », International Business Times UK,‎ (lire en ligne, consulté le )
  18. « Two bytes to $951m », baesystemsai.blogspot.co.uk (consulté le )
  19. (en-GB) « Cyber attacks linked to North Korea, security experts claim », The Telegraph,‎ (lire en ligne, consulté le )
  20. (en-GB) « WannaCry ransomware has links to North Korea, cybersecurity experts say », The Guardian,‎ (lire en ligne, consulté le )
  21. GReAT – Kaspersky Lab's Global Research & Analysis Team, « Lazarus Under The Hood », Securelist, (consulté le )
  22. The WannaCry Ransomware Has a Link to Suspected North Korean Hackers, « The Wired », Securelist, (consulté le )
  23. (en-GB) « More evidence for WannaCry 'link' to North Korean hackers », BBC News,‎ (lire en ligne, consulté le )
  24. (en-US) « The Sony Hackers Were Causing Mayhem Years Before They Hit the Company », WIRED,‎ (lire en ligne)
  25. (en-US) « Sony Got Hacked Hard: What We Know and Don't Know So Far », WIRED,‎ (lire en ligne)
  26. « A Breakdown and Analysis of the December, 2014 Sony Hack » [archive du ], www.riskbasedsecurity.com, (consulté le )
  27. (en-US) « Five Reasons Why Operation Blockbuster Matters », Novetta,‎ (lire en ligne, consulté le )
  28. « Novetta Exposes Depth of Sony Pictures Attack — Novetta » [archive du ], (consulté le )
  29. « Kaspersky Lab helps to disrupt the activity of the Lazarus Group responsible for multiple devastating cyber-attacks | Kaspersky Lab » [archive du ], www.kaspersky.com (consulté le )
  30. (en) « Congresswoman wants probe of 'brazen' $81M theft from New York Fed », New-York Post,‎ (lire en ligne)
  31. Scott Shapiro, Fancy Bear Goes Phishing: The dark history of the information age, in five extraordinary hacks, New York, 1st, , 316 p. (ISBN 978-0-374-60117-1)
  32. (en) « Cybercriminal Lazarus group hacked Bangladesh Bank », The Daily Star,‎ (lire en ligne, consulté le )
  33. (en) « US charges North Korean over Bangladesh Bank hack », Finextra,‎ (lire en ligne, consulté le )
  34. (en) « How to defend against TCP port 445 and other SMB exploits », SearchSecurity (consulté le )
  35. (en) Storm, « Cryptoworms: The future of ransomware hell », Computerworld, (consulté le )
  36. a b et c « North Korean Hacker Group Seen Behind Crypto Attack in South », Bloomberg,‎ (lire en ligne, consulté le )
  37. a et b « North Korea government-backed hackers are trying to steal cryptocurrency from South Korean users », CNBC,‎ (lire en ligne, consulté le )
  38. a et b (en) « Lazarus: North Korean hackers linked to Sony hack were behind cryptocurrency attacks in South Korea », International Business Times UK,‎ (lire en ligne, consulté le )
  39. (en-US) « Bitcoin, cryptocurrencies targeted by North Korean hackers, report reveals », Fox Business,‎ (lire en ligne, consulté le )
  40. (en-GB) Warwick Ashford, « North Korean hackers tied to cryptocurrency attacks in South Korea », Computer Weekly,‎ (lire en ligne, consulté le )
  41. (en) « South Korean crypto exchange files for bankruptcy after hack », The Straits Times,‎ (lire en ligne, consulté le )
  42. « Bitcoin exchanges targeted by North Korean hackers, analysts say » [archive du ], MSN Money, (consulté le )
  43. (en) « NiceHash security breach investigation update – NiceHash », NiceHash (consulté le )
  44. a et b Volz, « U.S. Targets North Korean Hacking as National-Security Threat », MSN, (consulté le )
  45. Stubbs, « Exclusive: Suspected North Korean hackers targeted COVID vaccine maker AstraZeneca – sources », Reuters,
  46. a et b (en) Newman, Lily Hay, « North Korea Targets—and Dupes—a Slew of Cybersecurity Pros », Wired,‎ (lire en ligne)
  47. a et b (en-US) « New campaign targeting security researchers », Google, (consulté le )
  48. a et b (en-US) Intelligence, « ZINC attacks against security researchers », Microsoft Security Blog, (consulté le )
  49. a et b (en) « North Korea–linked Lazarus Group responsible for nearly 20% of crypto losses—more than $300 million worth—in 2023 », Fortune Crypto (consulté le )
  50. (en-GB) « North Korean hackers target gamers in $615m crypto heist - US », BBC,‎ (lire en ligne, consulté le )
  51. (en-US) « FBI Confirms Lazarus Group Cyber Actors Responsible for Harmony's Horizon Bridge Currency Theft », Federal Bureau of Investigation (consulté le )
  52. (en) « North Korean hackers stole $100 million in recent cryptocurrency heist, analysts say », Reuters,‎ (lire en ligne, consulté le )
  53. « FBI Identifies Cryptocurrency Funds Stolen by DPRK », FBI,
  54. « FBI Identifies Lazarus Group Cyber Actors as Responsible for Theft of $41 Million from Stake.com », FBI,
  55. (en) « North Korea Designation Update », U.S. Department of the Treasury (consulté le )
  56. (en) EST, « As Trump cozies up to Kim Jong-un, North Korean hackers target major banks », Newsweek, (consulté le )
  57. a b c d et e (en) « Treasury Sanctions North Korean State-Sponsored Malicious Cyber Groups », U.S. Department of the Treasury,
  58. a b c d e et f (en) Healthcare Sector Cybersecurity Coordination Center, « North Korean Cyber Activity », U.S. Department of Health & Human Services,
  59. (en-US) Meyers, « STARDUST CHOLLIMA | Threat Actor Profile | CrowdStrike », (consulté le )
  60. Lazarus APT Spinoff Linked to Banking Hacks | Threatpost
  61. a b et c (en) Federation of American Scientists, « North Korean Tactics » [PDF], U.S. Army, , E-1, E-2
  62. « FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks | CISA »
  63. (en-US) Alperovitch, « FBI Implicates North Korea in Destructive Attacks », (consulté le )
  64. (en-US) « North Korean Hackers Stole U.S.-South Korean Military Plans, Lawmaker Says », The New York Times,‎ (lire en ligne, consulté le )
  65. Huss, « North Korea Bitten by Bitcoin Bug », proofpoint.com (consulté le )
  66. (en) Cimpanu, « US charges two more members of the 'Lazarus' North Korean hacking group », ZDNet, (consulté le )
  67. (en) « Three North Korean Military Hackers Indicted in Wide-Ranging Scheme to Commit Cyberattacks and Financial Crimes Across the Globe » [archive du ], US Dept of Justice,

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Groupe_Lazarus&oldid=215300608 ».