Il reste encore de nombreuses questions sans réponse concernant la récente attaque contre Sony Pictures Divertissement, par exemple comment les attaquants sont entrés par effraction, combien de temps ils sont restés à l’intérieur du réseau de Sony, s’ils ont bénéficié d’une aide interne et comment les attaquants ont réussi à voler des téraoctets de données sans préavis. À ce jour, un nombre important de lecteurs ne sont toujours pas convaincus de la seule conclusion sur laquelle de nombreux experts en sécurité et le gouvernement américain s’accordent désormais : que la Corée du Nord était à blâmer. Cet article examine certaines preuves convaincantes d’attaques passées de ce type qui ont contribué à éclairer cette conclusion.
Une image de HP, sous-titrée « Étudiants nord-coréens s’entraînant pour la cyberguerre ».
La dernière fois que le monde a vu une attaque comme celle qui a frappé SPE, c’était le 20 mars 2013, lorsque des réseaux informatiques exploitant trois grandes banques sud-coréennes et deux des plus grands diffuseurs de télévision du pays ont été frappés d’attaques paralysantes cela les a mis hors ligne et a empêché de nombreux Sud-Coréens de retirer de l’argent aux distributeurs automatiques de billets. Les attaques ont eu lieu alors que les forces militaires américaines et sud-coréennes menaient des exercices conjoints dans la péninsule coréenne.
Cette attaque reposait en partie sur un logiciel malveillant appelé « Dark Seoul », conçu pour écraser les sections initiales du disque dur d’un ordinateur infecté. Le composant d’effacement des données utilisé dans l’attaque a écrasé les informations sur les disques durs infectés en répétant les mots « hastati » ou « principes », selon la version du logiciel malveillant d’effacement téléchargée sur l’hôte compromis.
Ces deux termes font référence à la classes militaires de la Rome antique: les « hastati » étaient les soldats les plus jeunes et les plus pauvres généralement sur les lignes de front ; les «principes» faisaient référence à des soldats plus endurcis et aguerris. Selon un livre blanc détaillé de McAfeeles attaquants ont laissé une carte de visite un jour après les attentats sous la forme d’un message contextuel Web affirmant que le NewRomanic Cyber Army Team était responsable et avait divulgué des informations privées de plusieurs banques et sociétés de médias et détruit des données sur un grand nombre de machines.
Le message disait :
« Salut, Chers Amis, Nous sommes très heureux de vous informer des nouvelles suivantes. Nous, l’équipe NewRomanic Cyber Army, avons vérifié notre #OPFuckKorea2003. Nous avons maintenant beaucoup d’informations personnelles entre nos mains. Ceux-ci incluent; 2.49M de [redacted by Mcafee] données de la table des membres, cms_info à plus de 50 M de [redacted]. Beaucoup d’informations de [redacted] Banque. Nous avons détruit plus de 0,18 million de PC. Beaucoup d’auth J’espère que vous avez de la chance. 11ème, 12ème, 13ème, 21ème, 23ème et 27ème Détachement HASTATI. Fait partie des éléments PRINCIPES. ps Pour plus d’informations, veuillez visiter www.dropbox.com connectez-vous avec [email protected]::[email protected]$RFV. Veuillez également visiter pastebin.com.
Le rapport McAfee et un rapport tout aussi approfondi de Sécurité HPmentionne qu’un autre groupe se faisant appeler Équipe Whois – qui a défiguré un fournisseur de réseau sud-coréen lors de l’attaque – a également pris la responsabilité des attaques destructrices de Dark Seoul en 2013. Mais les deux sociétés disent croire que l’équipe NewRomanic Cyber Army et l’équipe Whois sont essentiellement le même groupe. En tant que société de sécurité russe Kaspersky Remarquesles images utilisées par la WhoisTeam et les messages d’avertissement laissés à Sony sont remarquablement similaires :
Le message de dégradation laissé par l’équipe Whois lors des attaques de Dark Seoul en 2013 (à gauche) et le message laissé à Sony (à droite).
Fait intéressant, les attaques contre Sony ont également été précédées par le vol de données qui ont ensuite été divulguées sur Pastebin et via Boîte de dépôt. Mais combien de temps les attaquants dans l’affaire Sony sont-ils restés à l’intérieur du réseau de Sony avant de commencer à nettoyer les disques ? Et comment ont-ils déplacé des dizaines de téraoctets de données hors du réseau de Sony sans préavis ? Ces questions restent sans réponse, mais l’article de McAfee contient quelques indices possibles.
UNE LONGUE CAMPAGNE
McAfee postule que, sur la base des temps de compilation du malware de porte dérobée utilisé pour télécharger le malware d’effacement de lecteur, les cibles des attaques de Dark Seoul ont probablement été compromises par un cheval de Troie d’accès à distance livré par une campagne de spear-phishing au moins deux mois avant la destruction des données a commencé. Plus important encore, McAfee conclut que le logiciel malveillant d’effacement de données et de porte dérobée utilisé dans l’attaque de Dark Seoul n’était qu’un petit élément d’une campagne de cyberespionnage élaborée qui a débuté en 2009 et ciblait uniquement les actifs sud-coréens.
« McAfee Labs a découvert un réseau d’espionnage militaire sophistiqué ciblant la Corée du Sud qui est opérationnel depuis 2009. Notre analyse montre que ce réseau est lié à l’incident de Dark Seoul. De plus, nous avons également déterminé qu’un seul groupe était à l’origine d’une série de menaces visant la Corée du Sud depuis octobre 2009. Dans ce cas, l’adversaire avait conçu un réseau crypté sophistiqué conçu pour recueillir des renseignements sur les réseaux militaires.
Nous avons confirmé des cas de chevaux de Troie opérant via ces réseaux en 2009, 2010, 2011 et 2013. Ce réseau a été conçu pour camoufler toutes les communications entre les systèmes infectés et les serveurs de contrôle via Microsoft API de cryptographie utilisant le cryptage RSA 128 bits. Tout extrait de ces réseaux militaires serait transmis sur ce réseau crypté une fois que le logiciel malveillant a identifié des informations intéressantes. Ce qui rend ce cas particulièrement intéressant, c’est l’utilisation d’outils de reconnaissance automatisés pour identifier les informations militaires spécifiques contenues dans les systèmes internes avant que les attaquants ne tentent de saisir l’un des fichiers.
Le logiciel malveillant d’espionnage recherchait des fichiers contenant des termes spécifiques pouvant indiquer qu’ils contenaient des informations sur la coopération militaire américaine et coréenne, notamment « US Army » et « Résolution de clé d’opération», un exercice militaire annuel organisé par les forces américaines et l’armée sud-coréenne.
Un missile lancé par la Corée du Nord le 4 juillet 2009.
Les attaques de Dark Seoul n’étaient pas un incident isolé. En 2011, la même banque coréenne qui a été attaquée lors de l’incident de 2013 a également été victime d’attaques par déni de service et de logiciels malveillants destructeurs. Le 4 juillet 2009, une vague d’attaques par déni de service a déferlé sur plus de deux douzaines de sites Web des gouvernements coréen et américain, y compris la Maison Blanche et le Pentagone. Le 4 juillet est le Jour de l’Indépendance aux États-Unis, mais c’est aussi le jour même où la Corée du Nord lancé sept missiles à courte portée dans la mer du Japon dans une démonstration de puissance militaire. Au moment où la troisième vague de cette attaque s’est calmée le 9 juillet, les assaillants avaient poussé des logiciels malveillants sur des dizaines de milliers d’ordinateurs zombies utilisés dans l’assaut qui effacé toutes les données des machines.
Le co-fondateur de CrowdStrike, une société de sécurité qui se concentre fortement sur l’identification de l’attribution et des acteurs derrière les principales attaques de cybercriminalité, a déclaré que son entreprise avait « un très haut degré de confiance dans le fait que le FBI a raison » d’attribuer l’attaque contre Sony Pictures à la Corée du Nord. hackers, et que CrowdStrike est parvenu à cette conclusion indépendamment bien avant que le FBI ne fasse son annonce la semaine dernière.
« Nous avons une grande confiance dans le fait qu’il s’agit d’un opérateur nord-coréen sur la base des profils vus remontant à 2006, y compris l’espionnage antérieur contre le gouvernement sud-coréen et américain et les institutions militaires », a déclaré Dimitri Alperovitchdirecteur de la technologie et co-fondateur de CrowdStrike.
« Ces événements sont tous connectés, à la fois par le chevauchement de l’infrastructure et l’analyse des logiciels malveillants, et ils sont liés à l’attaque de Sony », a déclaré Alperovitch. « Nous n’avons pas vu les sceptiques produire la moindre preuve que ce n’était pas la Corée du Nord, car il y a une assez bonne attribution technique ici. Je veux savoir combien d’autres groupes de piratage sont si intéressés par des choses comme Key Resolve.
Une statue de Chollima en Corée du Nord.
Des entreprises de sécurité comme HP référer à l’équipe de piratage nord-coréenne sous le nom de groupe « Hastati », mais CrowdStrike les appelle par un surnom différent : « Silent Chollima ». UNE Chollima est un cheval ailé mythique issu des classiques chinois.
« La Corée du Nord est l’un des rares pays qui n’a pas de véritable animal comme animal national », a déclaré Alperovitch. « Ce qui, je pense, en dit long sur le pays lui-même. »
La partie « silencieuse » du surnom fait référence au fait têtu que l’on sait peu de choses sur les pirates eux-mêmes. Contrairement aux groupes de hackers dans d’autres pays où il est courant de trouver des malfaiteurs avec plusieurs profils sur les réseaux sociaux et les forums de hackers qui peuvent être utilisés pour construire un profil plus complet des attaquants – les Nord-Coréens restreignent fortement l’utilisation des communications Internet, même pour leur cyber-guerriers.
« Tout d’abord, ils n’ont pas une tonne d’infrastructures Internet en Corée du Nord, et ils n’ont pas de forums et de médias sociaux qui vous aident généralement à identifier, par exemple, si une attaque provient de Russes ou de Chinois », a déclaré Alperovitch. mentionné. « En général, le régime nord-coréen est l’une des cibles de renseignement les plus difficiles pour les communautés du renseignement et de la cyber-attribution. »
Lundi, les gens de Recherche dynamique – une entreprise qui suit les problèmes de connectivité Internet dans le monde entier – a déclaré que ses capteurs avaient noté que la Corée du Nord s’est inexplicablement déconnecté le lundi 22 décembre vers 16h15 UTC (01h15 UTC mardi dans la capitale nord-coréenne de Pyongyang). Mais les chercheurs se sont arrêtés avant d’attribuer une raison à la panne.
« Qui a causé cela, et comment? », A écrit Jim Cowie, scientifique en chef chez Dyn. « Un long schéma de connectivité ascendante et descendante, suivi d’une panne totale, semble cohérent avec un réseau fragile soumis à une attaque externe. Mais cela correspond également à des causes plus courantes, telles que des problèmes d’alimentation.
Fait intéressant, ce modèle de temps d’arrêt a également été observé directement après les attaques de 2013 décrites ci-dessus qui visaient des banques et des entreprises de médias sud-coréennes. Selon Jason Lancastrechercheur en sécurité chez HP, tout l’espace Internet nord-coréen a subi une panne similaire à peu près au même moment que l’offensive de 2013 contre la Corée du Sud.
« Quand ils sont revenus en ligne, l’un de ces quatre [North Korean Internet address blocks] acheminait via une connexion satellite Intelsat », a déclaré Lancaster. « Qu’est-ce qui a causé la panne de 2013 ? Ils n’ont jamais déterminé la cause. La spéculation était qu’ils étaient attaqués, mais il n’y a jamais eu de preuve que cela se produise.
Lecture complémentaire :
Analyse US-CERT du ver informatique utilisé dans l’attaque contre Sony.
Blog TaoSecurity : Que signifie la « responsabilité » pour l’attribution ?
Rapport McAfee sur les attaques de Dark Seoul (PDF)
Sécurité HP : Profilage d’une énigme – Le mystère du paysage des cybermenaces de la Corée du Nord (PDF)