Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière le virus WannaCry
En partant d'un CV comme indice ?

Le , par Stéphane le calme, Chroniqueur Actualités
Le 6 septembre, le ministère de la Justice des États-Unis a officiellement accusé un développeur nord-coréen d’être parmi les instigateurs de certaines des plus grandes cyberattaques de ces dernières années.

Selon l'acte d'accusation de 176 pages, Park a travaillé pour Chosun Expo Joint Venture, une entreprise qui serait liée à une unité de renseignement militaire nord-coréenne appelée Lab 110 mais qui se fait passer pour une entreprise de jeu et paris en ligne.

Park ferait partie d’une unité connue sous le nom de "Lazarus Group", que les États-Unis allèguent également liée à d’autres campagnes de spear phishing, à des attaques par logiciels malveillants et à la tentative de vol de documents et d’argent des banques d’Asie du Sud-Est et d’Afrique.

Le hacker nord-coréen a été inculpé d'un chef d'accusation de complot en vue de commettre une fraude informatique et d'un autre chef de complot en vue de commettre une fraude électronique. L’accusation de fraude informatique peut conduire à cinq ans d’emprisonnement au maximum, tandis que la fraude électronique peut aller jusqu’à 20 ans.

Il est peu probable que Park soit extradé car les États-Unis n’ont pas de relations formelles avec la Corée du Nord.


Park Jin Hyok

Les différentes attaques qui lui sont attribuées

Le piratage de Sony Pictures en novembre 2014 a conduit à la publication de milliers de courriers électroniques internes, de documents et d'autres informations telles que les salaires et les films non publiés.

L'attaque a eu lieu avant la sortie du film de comédie The Interview, qui dépeint un complot fictif de la CIA visant à tuer le dirigeant nord-coréen Kim Jong-un.

Un mois plus tard, des responsables américains ont accusé la Corée du Nord de l'attaque, une accusation soutenue par plusieurs organisations, dont une liée au gouvernement sud-coréen.

La cyberattaque WannaCry a eu lieu en 2017 lorsque le ransomware a infecté environ 300 000 ordinateurs. Il fallait que les personnes touchées par le virus paient une certaine somme en Bitcoin pour accéder à leurs fichiers à nouveau.

Une autre attaque informatique de grande envergure que les États-Unis avaient attribués à la Corée du Nord était le transfert illicite de 81 millions de dollars d’une banque bangladaise en 2016.

En somme, selon l’acte d'accusation du DOJ de 179 pages, les États-Unis estiment que Park Jin Hyok, un Nord-Coréen de 34 ans, est l'une des nombreuses personnes à l'origine d'une longue série d'attaques de malwares et d'intrusions, telles que:
  • le ransomware WannaCry qui a fait beaucoup parlé de lui en 2017;
  • les tentatives de piratage de l'entrepreneur de défense américain Lockheed Martin en 2016;
  • Les opérations lancées contre la Banque centrale du Bangladesh 2016;
  • L’intrusion chez Sony Pictures Entertainment en 2014;
  • L’intrusion dans les systèmes des chaînes américaines de cinéma AMC Theatres et Mammoth Screen en 2014;
  • Une longue série de piratages d'organisations de médias, de banques et d'entités militaires sud-coréennes sur plusieurs années et;
  • des piratages de banques à travers le monde de 2015 à 2018.

Le CV qui met sur la voie

La Chosun Expo Joint Venture s'est engagée à la fois dans le hacking et dans les affaires régulières, travaillant avec des clients sur des projets logiciels et informatiques et utilisant des services de messagerie gratuits, notamment Gmail, selon la plainte pénale. L’acte d’accusation souligne qu’un indice a permis aux enquêteurs de progresser lorsque le prétendu supérieur de Park a envoyé son CV et sa photo à une autre entreprise dans le cadre de ses opérations technologiques quotidiennes.

Les enquêteurs ont consulté environ 1 000 comptes de messagerie et de médias sociaux en utilisant une centaine de mandats de recherche et les ont utilisés pour rassembler une image des hackers et de leurs opérations, selon la plainte.


Eric Chien, directeur technique de la réponse de sécurité chez Symantec Corp., une société de sécurité numérique basée à Mountain View, en Californie, qui suit le Lazarus Group et est cité dans le rapport du ministère de la Justice, a déclaré que les hackers vont probablement changer leur infrastructure mail. "Nous nous attendons à une accalmie, puis à une reprise d’activité", a déclaré Chien dans une interview.

Les choses se précisent

L’acte d’accusation du Département de la justice, l’un des plus importants en son genre en ce qui concerne le nombre de pages, énumère une vaste gamme d’adresses électroniques utilisées pour enregistrer des noms de domaine et acheter des services d’hébergement utilisés dans tous les cas.

Il inclut également les adresses IP utilisées pour accéder aux serveurs de commande et de contrôle des logiciels malveillants, aux comptes de médias sociaux et aux serveurs piratés hébergeant des logiciels malveillants utilisés dans les attaques.

Les responsables affirment avoir identifié les comptes de messagerie et de médias sociaux que Park utilisait lors de son travail à Chosun Expo, ainsi que les comptes de messagerie et de médias sociaux utilisés par Lazarus Group pendant ses quatre années de piratage.


Les enquêteurs signalent en particulier un personnage faux nommé "Kim Hyon Woo" qui semble avoir des liens par adresse IP ou par adresse électronique avec les opérations de piratage de Lazarus et leurs victimes.

Mais les responsables ont déclaré que malgré les efforts déployés par Park pour ne pas utiliser son personnage, ses e-mails et ses adresses IP réels pour accéder à l’infrastructure du Groupe Lazarus et aux serveurs piratés, il a finalement laissé des traces reliant ses comptes réels au personnage:

« Les connexions entre les comptes Expo Chosun de PARK et les comptes Kim Hyon Woo incluent un accès partagé à une archive .rar cryptée, un enregistrement des comptes Kim Hyon Woo dans le carnet d'adresses de Chosun Expo Accounts, un accès à ces comptes à partir des mêmes adresses IP, entre autres ».

Les fonctionnaires sont persuadé que les comptes en ligne associés au personnage "Kim Hyon Woo" ont été utilisés par plusieurs opérateurs, et ils sont convaincus que Park était l'un d'entre eux.

De plus, en raison de ses antécédents en matière de programmation, ils croient également qu’il a participé à la création du logiciel malveillant Lazarus Group.

Lequel, les fonctionnaires du DOJ ne sont pas certains. Mais ils ont souligné qu'il existe d'innombrables liens entre les différents logiciels malveillants auxquels les opérateurs du groupe Lazarus ont eu recours au fil des ans.

« Les échantillons WannaCry et Trojan.Alphanc ont tous deux utilisé l'adresse IP 84.92.36.96 comme adresse IP de commande et de contrôle. Cette adresse IP était également une adresse de commande et de contrôle pour un échantillon de logiciels malveillants obtenus par le FBI, qui supprime une charge utile de logiciels malveillants de la même manière que les autres logiciels malveillants que les sociétés de cybersécurité privées ont attribués au Groupe Lazarus, ainsi que d’autres utilisés pour cibler Lockheed Martin. Le 29 février et le 1er mars 2016, une adresse IP nord-coréenne connectée à cette adresse IP. [...] Plus précisément, cette adresse IP nord-coréenne a été utilisée pour accéder au serveur Web compromis, le 8 janvier 2016; les 22 et 27 janvier 2016, il s'est également connecté à un ordinateur compromis en Caroline du Nord infecté par des logiciels malveillants liés à l'attaque de SPE; et, le 10 mars 2016, il a été utilisé pour accéder à un profil Facebook auquel il était possible d'accéder depuis l'adresse IP nord-coréenne # 2 le 13 décembre 2015 ».

L’acte d’accusation présente plus de détails de ces connexions et développe un maillage complexe qui relie toutes les infrastructures du groupe Lazarus, puis mène au faux personnage de Kim Hyon Woo, puis aux comptes de Chosun Expo connus auparavant pour avoir appartenu à Park.

Source : acte d'accusation (au format PDF)

Et vous ?

Cela vous semble-t-il suffisamment crédible ou estimé vous qu'il y ait des chances que ce ne soient que des conjectures malheureuses ?

Voir aussi :

Le CEO de Google refuse de s'exprimer devant le Sénat américain sur l'ingérence russe lors des élections US de 2016
Un groupe de hackers aurait réussi à pirater PlayStation Network de Sony et a revendiqué l'attaque via un compte Twitter officiel de PlayStation
Sony capitule face aux menaces des pirates et renonce à sortir son film « The Interview », provoquant ainsi la colère de nombreux acteurs
Piratage de Sony : des hackers menacent de lancer une attaque terroriste contre les salles de cinéma qui vont projeter le film « The Interview »
Sony Pictures victime d'un piratage par la Corée du Nord ? L'attaque pourrait être une riposte suite à la sortie du film 'The Interview'


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de alexetgus alexetgus - Membre du Club https://www.developpez.com
le 10/09/2018 à 12:03
Quand la Corée du nord publie une info, on est en droit de discuter cette info.
La Corée du nord est une dictature et elle n'hésitera pas à sacrifier un pauvre citoyen qui n'a rien à voir dans l'affaire !

Vous devriez avoir honte de diffuser ce type d'info invérifiable !
Avatar de 4sStylZ 4sStylZ - Membre éclairé https://www.developpez.com
le 10/09/2018 à 13:15
C’est les états unis qui l’accusent. Pas la corée du nord.
Avatar de alexetgus alexetgus - Membre du Club https://www.developpez.com
le 10/09/2018 à 13:17
Tu as vu qui est président des USA ?
Avatar de Itachiaurion Itachiaurion - Membre habitué https://www.developpez.com
le 10/09/2018 à 13:33
Citation Envoyé par alexetgus Voir le message
Tu as vu qui est président des USA ?
Que je sache Donald Trump n'est pas expert en informatique ni en sécurité. Un président n'est pas représentatif de son état et il est fort probable qu'il ignorais l'existence même de cette personne avant que cela soit révéler officiellement ou non. C'est un peu comme dire la même chose mais 5 ans en arrière quand c'était Barack Obama qui étais bien plus cool en comparaison, les USA ne sont pas uniquement défini par leur président.
Avatar de alexetgus alexetgus - Membre du Club https://www.developpez.com
le 10/09/2018 à 13:38
Oui, bon d'accord, je ne vais pas m'acharner.
Peace !
Contacter le responsable de la rubrique Accueil