Cela fait suite à la dénonciation faite par l’ONU, en août 2019, de l’emploi par Pyongyang de certains groupes de hackers pour piller des banques et mettre la main sur des échanges de crypto-monnaies. Mais, alors que ces pratiques des pirates nord-coréens ne sont guère nouvelles, c’est plutôt la première fois que le gouvernement américain décide d’afficher publiquement et de manière détaillée les outils déployés dans ces opérations de piratage dénommées HIDDEN COBRA. Kaspersky Lab, de son côté, identifie de nombreux logiciels malveillants utilisés dans le cadre de ces campagnes d’attaques comme les mêmes que ceux qui sont attribués à un groupe de pirates dénommé « Lazarus ».
Cela concerne sept familles de malwares, dont six ont été téléchargées sur VirusTotal, identifiées par le DHS comme des variantes de cheval de Troie :
- BISTROMATH : un implant RAT (Remote Access Trojan) muni d’un contrôleur CAgent11 GUI pouvant inspecter le système d’exploitation, télécharger (downloader ou uploader) des fichiers, exécuter des processus et commandes, et surveiller le presse-papiers ainsi que le microphone et l’écran de l’ordinateur cible. Le contrôleur GUI permet d’interagir avec l’implant, voire de créer de nouveaux implants. Une fake bitmap se trouvant dans le cheval de Troie se décode en shellcode pour charger l’implant intégré.
- SLICKSHOES : déposant un implant Themida (via le fichier taskenc.exe) qui, à son tour, recueille des informations telles que la version du système d’exploitation, le nom d’utilisateur et l’adresse IP de l’ordinateur hôte ; l’implant exécute ensuite un algorithme de codage du réseau local et peut réaliser la plupart des tâches attribuées BISTROMATH.
- HOTCROISSANT : un implant de balisage complet qui effectue l’importation dynamique de DLL et réalise des recherches d’API via LoadLibrary et GetProcAdress sur des chaînes de caractères obscurcies pour masquer l’utilisation des fonctions réseau par le malware. Cet implant peut également réaliser la plupart des tâches dont est capable BISTROMATH.
- ARTFULPIE : un implant qui télécharge et charge en mémoire, puis exécute une DLL via une URL désormais codée dans la machine hôte.
- BUFFETLINE : un implant se rapproche de HOTCROISSANT dans ses fonctionnalités d’importation dynamique de DLL, de recherche d’API et de masquage des fonctions réseau. L’implant utilise PolarSSL pour l’ouverture de session, mais aussi FakeTLS pour le codage réseau via un algorithme RC4 modifié. Cet implant peut aussi downloader/uploader et exécuter des fichiers, autoriser l’accès CLI Windows, créer et terminer des processus, …
- CROUDFLOUNDER : un exécutable Win32 de pack Themida destiné à décompresser en mémoire un binaire RAT, puis à ouvrir le pare-feu Windows de la machine hôte afin d’autoriser toute connexion entrante et sortante.
En complément, un autre rapport d’analyse de malwares publié concerne HOPLIGHT, une famille de 20 fichiers exécutables malveillants, dont 16 sont des applications de proxy qui masque les échanges entre le logiciel et les opérateurs distants. Ces proxys peuvent générer des faux TLS pour ouvrir des sessions en utilisant des certificats SSL valident.
La raison avancée de ce dévoilement public et détaillé des pratiques des pirates nord-coréens est la sophistication accrue des logiciels malveillants et des techniques déployés par les cybercriminels. En effet, si auparavant ces derniers ont eu recours à des moyens moins avancés, il n’en est plus le cas ces derniers temps. L’on peut se rappeler des attaques destructrices menées contre Sony Pictures en 2013, attribuées en 2018 par la Justice américaine à un agent nord-coréen considéré également comme ayant déclenché le ver rançongiciel WannaCry en 2017.
En 2019, le Trésor américain a aussi pointé du doigt trois groupes de hackers nord-coréens comme responsables des piratages ayant visé des infrastructures critiques et pillé des banques aux États-Unis. Le gouvernement fédéral a probablement estimé qu’il est temps de faire participer le grand public aux stratégies de prévention contre ces attaques qui proviendraient des pirates de la Corée du Nord.
Source : CISA
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Pyongyang aurait obtenu 2 milliards de dollars grâce à des cyberattaques
Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière le virus WannaCry
WannaCry : les États-Unis incriminent officiellement la Corée du Nord « avec un très haut niveau de certitude »
Les USA rapportent une nouvelle cyberactivité malveillante nord-coréenne Quelques jours après le sommet historique entre les présidents des deux pays
Piratage de Sony : les États-Unis sanctionnent la Corée du Nord