le FBI a déclaré aujourd’hui qu’il avait déterminé que le gouvernement nord-coréen était responsable de la récente attaque de piratage dévastatrice contre Sony Pictures Divertissement. Voici un bref aperçu de la déclaration du FBI, de ce que les experts apprennent sur les capacités de cyberattaque de la Corée du Nord et de ce que cet incident signifie pour les autres entreprises à l’avenir.
Dans une déclaration publié vendredi en début d’après-midi, le FBI a déclaré que son enquête – ainsi que des informations partagées par Sony et d’autres départements et agences du gouvernement américain – avait révélé que le gouvernement nord-coréen était responsable.
Le FBI a déclaré qu’il ne pouvait pas divulguer toutes ses sources et méthodes, mais que la conclusion était basée, en partie, sur les éléments suivants :
– « L’analyse technique du logiciel malveillant de suppression de données utilisé dans cette attaque a révélé des liens vers d’autres logiciels malveillants que le FBI connaît des acteurs nord-coréens développés précédemment. Par exemple, il y avait des similitudes dans des lignes de code spécifiques, des algorithmes de chiffrement, des méthodes de suppression de données et des réseaux compromis.
– « Le FBI a également observé un chevauchement important entre l’infrastructure utilisée dans cette attaque et d’autres cyberactivités malveillantes que le gouvernement américain a précédemment liées directement à la Corée du Nord. Par exemple, le FBI a découvert que plusieurs adresses de protocole Internet (IP) associées à une infrastructure nord-coréenne connue communiquaient avec des adresses IP codées en dur dans le logiciel malveillant de suppression de données utilisé dans cette attaque.
– « Séparément, les outils utilisés dans l’attaque SPE présentent des similitudes avec une cyberattaque en mars de l’année dernière contre des banques et des médias sud-coréens, qui a été menée par la Corée du Nord. »
L’agence a ajouté qu’elle était « profondément préoccupée » par la nature destructrice de cette attaque contre une entité du secteur privé et les citoyens ordinaires qui y travaillent, et que le FBI est prêt à aider toute entreprise américaine victime d’une cyberattaque destructrice. ou la violation d’informations confidentielles.
« En outre, l’attaque de la Corée du Nord contre SPE réaffirme que les cybermenaces constituent l’un des plus graves dangers pour la sécurité nationale des États-Unis », a déclaré le FBI. « Bien que le FBI ait été témoin d’une grande variété et d’un nombre croissant de cyber-intrusions, la nature destructrice de cette attaque, associée à sa nature coercitive, la distingue. Les actions de la Corée du Nord visaient à infliger un préjudice important à une entreprise américaine et à supprimer le droit des citoyens américains à s’exprimer. De tels actes d’intimidation dépassent les limites d’un comportement étatique acceptable. Le FBI prend au sérieux toute tentative – que ce soit par des moyens informatiques, des menaces de violence ou autres – visant à saper la prospérité économique et sociale de nos citoyens.
SPE a été touché par une souche de logiciels malveillants conçus pour effacer tous les disques durs des ordinateurs du réseau de l’entreprise. Les assaillants ont alors commencé à publier d’énormes quantités de documents internes sensibles de la SPE et, plus récemment, ont commencé à menacer de violence physique quiconque regardait le film de Sony « The Interview », une comédie qui implique un complot visant à assassiner le dirigeant nord-coréen. Kim Jong Un. Peu de temps après qu’un certain nombre de grandes chaînes de cinéma ont annoncé qu’elles ne montreraient pas le film, Sony a annoncé qu’elle annulerait la sortie en salles du film.
Apparemment enhardis par la capitulation de Sony, les attaquants sont désormais encore plus exigeants. Selon CNN, les dirigeants de Sony ont reçu jeudi un e-mail apparemment des attaquants indiquant qu’ils ne publieraient plus de données Sony Pictures volées supplémentaires si la société annonçait qu’elle annulerait également tout projet de sortie du film sur DVD, Netflix ou ailleurs. Les attaquants auraient également exigé que tous les teasers et bandes-annonces concernant The Interview en ligne soient supprimés d’Internet.
UNE « ARME MAGIQUE »
On sait peu de choses sur les capacités de cyberguerre et de piratage de la Corée du Nord, mais les experts affirment que les dirigeants nord-coréens considèrent les capacités de cyberguerre comme un atout asymétrique important face à leurs ennemis perçus – les États-Unis et la Corée du Sud. Une rapport approfondi (PDF) publié plus tôt cette année par HP Security Research note qu’en novembre 2013, Le « cher dirigeant » de la Corée du Nord, Kim Jong Un, a qualifié les capacités de cyberguerre d’« arme magique » en conjonction avec les armes nucléaires et les missiles.
« Bien que la présence en ligne limitée de la Corée du Nord rende difficile une analyse approfondie de ses capacités de cyberguerre, il convient de noter que ce que l’on sait de ces capacités reflète étroitement leurs tactiques de guerre cinétique », note HP. « La cyberguerre est simplement le chapitre moderne de la longue histoire de guerre asymétrique de la Corée du Nord. La Corée du Nord a utilisé diverses tactiques non conventionnelles dans le passé, telles que la guérilla, l’utilisation stratégique du terrain et les opérations psychologiques. Le régime aspire également à créer des armes nucléaires viables.
Des sources proches de l’enquête ont déclaré à BreachTrace que les enquêteurs pensent qu’il pourrait y avoir jusqu’à plusieurs dizaines d’individus impliqués dans l’attaque, dont la plupart sont originaires de Corée du Nord. Près d’une douzaine d’entre eux résideraient au Japon.
Siège du Chongryon au Japon.
Selon HP, un groupe de Nord-Coréens de souche résidant au Japon connu sous le nom de Chongryon sont essentiels aux programmes de cyber et de renseignement de la Corée du Nord et contribuent à générer des devises fortes pour le régime. Le rapport cite des responsables du renseignement japonais déclarant que « les Chongryon sont vitaux pour le budget militaire de la Corée du Nord, collectant des fonds via le trafic d’armes, le trafic de drogue et d’autres activités du marché noir ». HP aujourd’hui publié beaucoup plus de détails sur des groupes de piratage nord-coréens spécifiques qui pourraient avoir joué un rôle clé dans l’incident de Sony compte tenu des précédentes attaques de ce type.
Alors que le gouvernement américain semble convaincu par des analyses techniques et des sources de renseignement que les Nord-Coréens étaient à l’origine de l’attaque, les sceptiques pourraient être pardonnés d’avoir des doutes sur cette conclusion. Il est intéressant de noter que les attaquants n’ont initialement fait aucune mention de The Interview et ont plutôt exigé un paiement de Sony pour empêcher la publication de données sensibles de l’entreprise. Ce n’est que bien après que les médias se soient jetés sur l’idée que l’attaque était en représailles apparentes pour L’interview que nous avons vu les attaquants commencer à mentionner le film de Sony.
Dans tous les cas, il est peu probable que les responsables américains apprécient la conclusion que la Corée du Nord est l’agresseur dans cette attaque, car cela oblige le gouvernement à réagir d’une manière ou d’une autre et peu d’options sont particulièrement acceptables. L’histoire principale sur la première page du Le journal de Wall Street aujourd’hui est un examen de ce à quoi pourrait ressembler la réponse américaine à cet incident, et il semble que peu d’options sur la table soient attrayantes pour les décideurs politiques et les agences de renseignement.
L’article du WSJ note que les seules connexions de la Corée du Nord à Internet passent par la Chine, mais qu’il est peu probable que faire pression sur la Chine pour qu’elle coupe ou restreigne sévèrement ces connexions fonctionne.
De même, s’engager dans une contre-attaque pourrait s’avérer infructueux, voire se retourner, a observé le Journal, « en partie parce que les États-Unis sont capables d’espionner la Corée du Nord en gardant un pied sur certains de ses systèmes informatiques. Une cyberattaque de représailles pourrait finir par nuire à la capacité de Washington à espionner Pyongyang… Un autre ancien responsable américain a déclaré que les décideurs politiques restaient réticents à déployer des cyberarmes contre des cibles étrangères.
IMPLICATIONS POUR LES ENTREPRISES AMÉRICAINES
Si cet incident n’est pas un signal d’alarme géant pour que les entreprises américaines prennent au sérieux la cybersécurité, je ne sais pas ce que c’est. J’ai donné plus de deux douzaines de conférences à travers le monde cette année, et un point que j’essaie toujours de faire comprendre est que trop peu d’organisations reconnaissent à quel point elles ont misé sur leur technologie et leurs opérations informatiques jusqu’à ce qu’il soit trop tard. Le message est que si la sécurité tombe en panne, la technologie cesse de fonctionner – et si cela se produit, l’entreprise peut rapidement s’arrêter. Mais vous auriez du mal à voir des signes indiquant que la plupart des organisations ont entendu et intériorisé ce message, en fonction de leurs investissements dans la cybersécurité par rapport à leur dépendance globale à son égard.
Une étape critique que de nombreuses organisations ne parviennent pas à franchir consiste à conserver un inventaire de base mais complet et continu de tous les actifs informatiques de l’organisation. Identifier où résident les données les plus sensibles et critiques (identifier les « joyaux de la couronne ») de l’organisation est un autre exercice essentiel, mais trop d’organisations ne parviennent pas à franchir l’étape critique du cryptage de ces informations vitales.
Au cours des dernières années, nous avons assisté à une évolution remarquable vers des attaques plus destructrices. La plupart des organisations sont habituées à lutter contre les infestations de logiciels malveillants dans leurs environnements informatiques, mais peu sont prêtes à gérer les menaces à évolution rapide conçues pour effacer complètement les données des disques de stockage sur le réseau.
Comme je le note dans mon livre Spam Nation, les malfaiteurs qui se contentaient autrefois de voler des informations bancaires et de diffuser des e-mails commerciaux non sollicités utilisent de plus en plus leurs compétences pour conserver des données contre rançon à l’aide d’outils malveillants tels que les ransomwares. Je crains qu’au fur et à mesure que ces attaquants deviennent plus conscients de la situation, c’est-à-dire qu’ils comprennent mieux qui sont leurs victimes et la valeur des actifs que les intrus ont sous leur contrôle, ces attaques et demandes de rançon deviennent plus agressives et coûteuses. dans les mois à venir.