L’agence de police nationale coréenne (KNPA) a averti que des pirates nord-coréens avaient piraté le réseau de l’un des plus grands hôpitaux du pays, l’hôpital universitaire national de Séoul (SNUH), pour voler des informations médicales sensibles et des détails personnels.

L’incident s’est produit entre mai et juin 2021, et la police a mené une enquête analytique au cours des deux dernières années pour identifier les auteurs.

Selon le communiqué de presse des forces de l’ordre, l’attaque a été attribuée à des pirates nord-coréens sur la base des informations suivantes :

  • les techniques d’intrusion observées dans les attaques,
  • les adresses IP qui ont été indépendamment liées aux acteurs de la menace nord-coréens,
  • les détails d’inscription au site Web,
  • l’utilisation d’une langue spécifique et du vocabulaire nord-coréen

Les médias locaux en Corée du Sud ont lié l’attaque au groupe de piratage Kimsuky, mais le rapport de la police ne mentionne pas explicitement le groupe de menace particulier.

Les attaquants ont utilisé sept serveurs en Corée du Sud et dans d’autres pays pour lancer l’attaque sur le réseau interne de l’hôpital.

La police a déclaré que l’incident avait entraîné l’exposition des données de 831 000 personnes, dont la plupart étaient des patients. De plus, 17 000 des personnes touchées sont des employés actuels et anciens de l’hôpital.

Le communiqué de presse de la KNPA a averti que les pirates nord-coréens pourraient tenter d’infiltrer les réseaux d’information et de communication dans diverses industries. Il a souligné la nécessité de mesures et de procédures de sécurité renforcées, telles que la mise en œuvre de correctifs de sécurité, la gestion de l’accès au système et le cryptage des données sensibles.

« Nous prévoyons de répondre activement aux cyberattaques organisées soutenues par les gouvernements nationaux en mobilisant toutes nos capacités de sécurité et de protéger fermement la cybersécurité de la Corée du Sud en empêchant des dommages supplémentaires grâce au partage d’informations et à la collaboration avec les agences concernées », a averti la KNPA.

Maui et Andariel
Les pirates nord-coréens ont déjà été liés à des intrusions dans le réseau hospitalier visant à voler des données sensibles et à extorquer une rançon aux organisations de santé.

Plus précisément, le gouvernement américain a mis en évidence la menace du rançongiciel Maui en tant que telle, avertissant le secteur de la santé qu’il doit renforcer ses défenses contre l’opération nord-coréenne.

Peu de temps après cet avertissement, les chercheurs en sécurité de Kaspersky ont lié l’opération de rançongiciel Maui à un groupe d’activités spécifique nommé « Andariel » (alias « Stonefly »), considéré comme un sous-groupe de Lazarus.

Lazarus est connu pour cibler les entités sud-coréennes avec des ransomwares depuis avril 2021.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *