Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La Corée du Nord serait-elle derrière le ransomware WCry ?
Des indices dans le code le suggèrent

Le , par Patrick Ruiz

122PARTAGES

12  0 
Immédiatement après que les premiers cas de prise en otage d’ordinateurs par le ransomware WCry ont été signalés en Europe, Europol a annoncé que son équipe EC3 serait lancée dans des investigations pour établir les responsabilités. L’attaque qui s’est finalement avérée être mondiale a mobilisé d’autres acteurs de la communauté de la cybersécurité autour de cette nécessité. Les résultats des recherches commencent à tomber. Neel Mehta, un chercheur en sécurité chez Google, vient de publier des empreintes digitales qui semblent lier le ransomware WCry au groupe nord-coréen Lazarus.


Neel a publié (cf. image ci-dessus) un tweet à ce propos. La firme de sécurité Kaspersky Lab, commentant ce tweet, a indiqué qu’il lie deux spécimens de malware : WannaCry dans sa version du mois de février et Cantopee, une création d’un groupe de hackers appelé Lazarus. Le groupe Lazarus est connu pour le catastrophique piratage de Sony en 2014 et celui de la banque centrale du Bangladesh l’an dernier par le biais du réseau SWIFT. Depuis lors, plusieurs firmes de recherche en sécurité ont établi le lien entre ce groupe de hackers et la Corée du Nord.

La firme de sécurité Kaspersky Lab a divulgué des sections du code de WannaCry et Cantopee (cf. image ci-dessous). Il en ressort que les développeurs de WannaCry (dans sa version de février) ont emprunté des sections de code à celle du malware Cantopee qui lui, date de 2015 (cf. encadrés en rouge). Kaspersky Lab précise toutefois que ces sections de code ont été retirées de la version de WannaCry du mois de mai, celle qui sévit dans le réseau du service national de santé de l’Angleterre et dans d’autres institutions de par le monde. La firme s’appuie sur cet aspect pour émettre l’hypothèse selon laquelle les sections de code de Cantopee ont pu être ajoutées dans la version de WannaCry du mois de février avec l’intention de diriger intentionnellement les regards sur le groupe Lazarus.


La firme prescrit donc de la prudence quant à l’émission de conclusions hâtives et appelle plutôt tous les chercheurs en sécurité à investiguer plus en profondeur sur cette brèche ouverte par les trouvailles de Neel Mehta, notamment sur la relation entre le code de la version de WannaCry du mois de février et le code du malware Cantopee. Costin Raiu, directeur de l’équipe de recherche et d’analyse de la firme Kaspersky Lab, s’est exprimé auprès de Forbes à propos des recherches qu’a menées Neel Mehta. Il les a qualifiées de capitales dans le processus de découverte des origines du ransomware WannaCry.

Source : SECURELIST, FORBES

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes, et aux gouvernements leurs responsabilités

Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS, XP reçoit ainsi son premier patch en trois ans

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de arond
Membre expérimenté https://www.developpez.com
Le 20/12/2017 à 8:44
@koyosama

Mais non !!! il faut alterner entre la Russie la Chine et la corée du nord. Et de temps en temps les terroristes pour se souvenir que sa existe comme sa tu tapes pas toujours sur les mêmes. Effet Garantie !
5  0 
Avatar de 4sStylZ
Membre éclairé https://www.developpez.com
Le 10/09/2018 à 13:15
C’est les états unis qui l’accusent. Pas la corée du nord.
6  1 
Avatar de Gecko
Membre éprouvé https://www.developpez.com
Le 16/05/2017 à 10:02
Je trouve étrange que la Corée du Nord soit pointée du doigt en pleine tensions avec les USA. Certains diront coïncidence, perso j'ai une grande impression de déjà vu...
4  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 16/05/2017 à 10:07
Quand ce ne sont pas les méchants russes, ce sont forcement les méchants coréens du nord.

Code : Sélectionner tout
1
2
3
4
5
6
if (isRussia)
{
  return "Hackers are Russian!";
}

return "Hackers are North-Coreans!";
Il faudrait peut-être qu'ils adaptent leurs codes
4  0 
Avatar de Rokhn
Membre actif https://www.developpez.com
Le 16/05/2017 à 11:19
Citation Envoyé par Aiekick Voir le message
le groupe lazarus c'est un groupe gouvernemental ? parce que je croyais que l'internet était bloqué en Corée du nord ?!
Alors non, Internet n'est pas bloqué en Corée du nord, il est juste réservé à une caste très restreinte et les connexions sont contrôlés comme pas possible (certains sites, cependant, sont bloqués).
Après je ne dis pas que les Nord-Coréens sont responsables de ça, mais ce pays qu'on considère comme "arriéré" niveau tech est largement supporté par son pays voisin la chine. Une soit-disant équipe de hacker est déjà en place en Corée du Nord, après elle vaut ce quelle vaut mais ils ont une "équipe"
4  0 
Avatar de disedorgue
Expert éminent https://www.developpez.com
Le 16/05/2017 à 11:42
Citation Envoyé par Marco46 Voir le message

Si tu trouves anormal de mettre à jour tes logiciels, alors oui tu ne comprends rien à l'informatique.
Mettre à jour mes logiciels pour une vraie valeur ajoutée, je suis d'accord, les mettre à jour toutes les semaines, ça c'est du foutage de gueule de la part du propriétaire ou de l'incompétence.

Et une mise à jour n'est pas anodine, si on le fait correctement on doit minimum le faire en professionnel:
-sortie de la machine du système
-Backup
-Mise à jour
-test que tout fonctionne bien au moins comme avant
-Si ok, ouf...
-Si pas ok, on redescend le backup
-On vérifie que tout refonctionne bien
-Si c'est pas le cas, à quoi peu servir ce backup ???

Ou en cow-boy:
-Mise à jour.
-C'est bon, ça redémarre.

Je me demande bien pourquoi la NASA à longtemps refusé de changer leur programme informatique de lancement de fusées ?

Mais je comprends ton point de vue, c'est du business, mais pour moi, ça reste du business de foutage de gueule...

Bon, j'arrête là mon coup de gueule sur ce forum, désolé pour le dérangement
4  0 
Avatar de Florian_PB
Membre averti https://www.developpez.com
Le 18/05/2017 à 9:15
Citation Envoyé par Stéphane le calme Voir le message
Craignant la fuite de ses exploits par les Shadow Brokers, la NSA a indiqué à Microsoft une faille critiqueque l'éditeur s'est empressé de corriger
Lol la NSA Lanceur d'Alerte on se fout ouvertement de la gueule du monde là !
5  1 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 19/05/2017 à 12:07
Après le botnet qui fixe la faille de sécurité par laquelle il est rentré, on va avoir la faille de sécurité qui va permettre de réparer les dégâts d'un virus qui agit grâce à une faille de sécurité.

Tu m'étonnes que les gens n'y comprennent rien
4  0 
Avatar de Itachiaurion
Membre averti https://www.developpez.com
Le 10/09/2018 à 13:33
Citation Envoyé par alexetgus Voir le message
Tu as vu qui est président des USA ?
Que je sache Donald Trump n'est pas expert en informatique ni en sécurité. Un président n'est pas représentatif de son état et il est fort probable qu'il ignorais l'existence même de cette personne avant que cela soit révéler officiellement ou non. C'est un peu comme dire la même chose mais 5 ans en arrière quand c'était Barack Obama qui étais bien plus cool en comparaison, les USA ne sont pas uniquement défini par leur président.
4  0 
Avatar de akoho
Membre régulier https://www.developpez.com
Le 16/05/2017 à 8:47
Une fois encore, comme l'ambassade Russe l'a dit avec moquerie, cette fois au moins, ce ne sont pas les Russe qui ont été accusés.
Toutefois, il serait quand même difficile de trouver/prouver d’où vient ces attaques avec les réseaux/infra que nous(humain) avons mis en place.
3  0