Le Département d’État américain offre une récompense pouvant aller jusqu’à 10 millions de dollars pour des informations qui pourraient aider à capturer un pirate informatique militaire nord-coréen identifié comme Rim Jong Hyok.
Faisant partie du groupe de piratage nord-coréen Andariel, Hyok et d’autres agents d’Andariel étaient liés à des attaques de ransomware Maui ciblant des infrastructures critiques et des organisations de santé à travers les États-Unis.
Hyok a été accusé de complot en vue de commettre un piratage informatique et de complot en vue de commettre un blanchiment d’argent promotionnel, et un mandat d’arrêt fédéral a été émis mercredi par le tribunal de district américain du district du Kansas.
Jusqu’à présent, les forces de l’ordre américaines enquêtant sur leurs attaques ont lié les pirates nord-coréens à des incidents de ransomware qui ont touché deux bases de l’Armée de l’air américaine, cinq prestataires de soins de santé, quatre entrepreneurs de la défense basés aux États-Unis et le Bureau de l’inspecteur général de la National Aeronautics and Space Administration.
« Rim et d’autres ont conspiré pour pirater les systèmes informatiques des hôpitaux américains et d’autres prestataires de soins de santé, installer le ransomware Maui et extorquer des rançons », a déclaré le Département d’État.
« Les attaques par ransomware ont crypté les ordinateurs et les serveurs des victimes utilisés pour les tests médicaux ou les dossiers médicaux électroniques et ont perturbé les services de santé. Ces cyberacteurs malveillants ont ensuite utilisé les paiements de rançon pour financer des cyberopérations malveillantes ciblant des entités du gouvernement américain et des entrepreneurs de la défense américains et étrangers, entre autres. »
Lors d’un de ces incidents de novembre 2022, des pirates informatiques Andariel ont piraté le réseau d’un entrepreneur américain de la défense et volé plus de 30 gigaoctets de données, y compris des informations non classifiées sur des avions militaires et des satellites, dont une grande partie datait de 2010 ou plus tôt.
Ces récompenses sont fournies par le biais du programme Rewards of Justice (RFJ), un programme du département d’État américain qui offre des récompenses pour des informations sur les acteurs de la menace ciblant la sécurité nationale des États-Unis.
Le Département d’État a également mis en place un serveur Tor SecureDrop dédié pour soumettre des conseils sur les pirates Andariel ou d’autres groupes de menaces recherchés et acteurs malveillants.
Aujourd’hui, la CISA et le FBI (en partenariat avec des agences de cybersécurité du Royaume-Uni et de la République de Corée) ont également émis un avis conjoint sur ce groupe de piratage, qui est suivi sous les noms d’APT45, Onyx Sleet, DarkSeoul, Silent Chollima et Stonefly / Clasiopa et lié au Bureau général de reconnaissance de la Corée du Nord (RGB) 3rd Bureau.
Selon cet avis, Andariel se concentre sur le vol « d’informations militaires sensibles et de propriété intellectuelle d’organisations de défense, aérospatiales, nucléaires et d’ingénierie. »
« Les informations ciblées—telles que les spécifications du contrat, les nomenclatures, les détails du projet—les dessins de conception et les documents d’ingénierie-ont des applications militaires et civiles et amènent les agences rédactrices à évaluer l’une des principales responsabilités du groupe comme satisfaisant aux exigences de collecte pour les programmes nucléaires et de défense de Pyongyang », ont ajouté les agences rédactrices.
Ce groupe de piratage est considéré comme une menace permanente pour un large éventail de secteurs industriels dans le monde entier, et il est conseillé à toutes les organisations d’infrastructures critiques de mettre en œuvre les mesures d’atténuation recommandées dans l’avis d’aujourd’hui.
Jeudi, Mandiant a étiqueté Andariel / APT45 comme l’une des cyberopérations les plus anciennes de Corée du Nord, remontant à 2009. En 2019, il a ciblé plusieurs centrales nucléaires et installations de recherche, y compris la centrale nucléaire indienne de Kudankulam.