Corée du Nord : Cyberattaques pour renforcer la bombe nucléaire

Corée du Nord : Cyberattaques pour renforcer la bombe nucléaire

Le 19 janvier 2024, plusieurs ingénieurs travaillant dans une institution nucléaire au Brésil ont reçu des offres d’emploi via leurs plateformes professionnelles telles que LinkedIn et GitHub. Ces propositions, émanant de grandes entreprises mondiales collaborant avec des entités gouvernementales de haut niveau, offraient des salaires attractifs et des opportunités de carrière prometteuses.

Les offres semblaient authentiques, incluant les signatures réelles des responsables des ressources humaines. Cependant, lorsque les ingénieurs devaient passer une évaluation de compétences dans le cadre du processus de recrutement, une menace cachée a été déclenchée.

Une attaque sophistiquée orchestrée par le groupe Lazarus

Les fichiers envoyés à ces ingénieurs n’étaient en réalité qu’un piège finement élaboré par une unité de piratage informatique connue sous le nom de « Cobra Cachée » ou « Groupe Lazarus ». Cette unité est rattachée au Troisième Bureau du renseignement nord-coréen (RGB), la principale agence militaire de renseignement du pays, responsable de la majorité des cyberopérations offensives de Pyongyang.

À l’ouverture des fichiers, un logiciel malveillant complexe s’est activé, diffusant un nouveau type de porte dérobée appelé « Cookies Plus ». Déguisée en extension open source pour des applications courantes comme Notepad++, cette porte dérobée est difficile à détecter tant par l’utilisateur que par les systèmes de sécurité traditionnels.

Ce logiciel permet au cyber-opérateur de prendre le contrôle à distance, se déplaçant latéralement à travers les appareils du réseau ciblé. Ces révélations proviennent du rapport de l’équipe de recherche et d’analyse de la société de cybersécurité Kaspersky.

Une campagne d’espionnage étendue sous « Opération Job de Rêve »

Selon Kaspersky, cette campagne de cyberespionnage à long terme, supervisée par le renseignement nord-coréen, est baptisée « Opération Job de Rêve ». Elle utilise des techniques d’ingénierie sociale pour cibler des professionnels de divers secteurs, notamment la défense, l’aérospatial et les cryptomonnaies.

Les attaques débutent souvent par des messages de recrutement fictifs ou des notifications de mises à jour de sécurité frauduleuses, qui aboutissent à l’installation de logiciels malveillants donnant accès à toutes les informations des appareils infectés.

Par ailleurs, les cyberattaques nord-coréennes ciblent parfois les chaînes d’approvisionnement, en infectant les fournisseurs technologiques de secteurs stratégiques pour insérer des malwares dans leurs logiciels, facilitant ainsi l’infiltration des systèmes des institutions ciblées.

Cette campagne a été détectée pour la première fois en 2019, initialement focalisée sur des sociétés liées aux cryptomonnaies. Désormais, elle s’étend à des entreprises européennes, latino-américaines et sud-coréennes, particulièrement dans les domaines des technologies de l’information, de la défense et de l’énergie nucléaire.

Un soutien financier et informationnel aux capacités nucléaires de Pyongyang

Le Département du Trésor américain identifie deux sous-groupes opérant sous la bannière Lazarus, jouant des rôles complémentaires dans le soutien des programmes nucléaires nord-coréens : Bluenoroff et Andariel.

• Bluenoroff se concentre sur la génération de revenus illégaux pour contourner les sanctions économiques, finançant ainsi les programmes balistiques et nucléaires. Spécialisée dans les cyberattaques contre les institutions financières à l’échelle mondiale, elle est notamment connue pour le piratage du système SWIFT ayant permis en 2016 le vol de 81 millions de dollars à la Banque centrale du Bangladesh.
• Andariel cible principalement les entités du secteur de la défense, de l’espace, du nucléaire et de l’ingénierie pour obtenir des informations techniques et confidentielles, renforçant ainsi les ambitions militaires et nucléaires du régime. Ce groupe mène également des opérations de sabotage électronique et de manipulation de données pour semer le chaos, notamment en Corée du Sud.

Des cyberattaques majeures contre la Corée du Sud et au-delà

En 2016, Andariel a réussi à infiltrer l’ordinateur personnel du ministre sud-coréen de la Défense et à compromettre le réseau interne du ministère, dérobant environ 235 Go de données secrètes. Ces documents incluaient des plans d’urgence de guerre conjointe États-Unis-Corée du Sud, comprenant un scénario d’assassinat du leader nord-coréen Kim Jong-un en cas de conflit, surnommé « couper la tête ».

Ce groupe est également à l’origine d’attaques visant la centrale nucléaire indienne de Kudankulam en 2019, utilisant un malware sophistiqué nommé « Dtrack » capable d’enregistrer les frappes clavier, de scanner les réseaux et de surveiller les activités sur les machines infectées.

Une évolution des priorités selon les analyses américaines

La société américaine Mandiant (filiale de Google) classe Andariel parmi les menaces persistantes avancées (APT-45). Elle souligne que depuis 2009, les objectifs de ce groupe reflètent les priorités géopolitiques changeantes de Pyongyang, passant du ciblage gouvernemental et militaire à une orientation plus marquée vers les cyberattaques à motivation financière, notamment par des rançongiciels.

En 2022, par exemple, Andariel a ciblé des établissements de santé aux États-Unis et au Japon via le ransomware « Maui », générant ainsi des profits estimés à plus de 3 milliards de dollars entre 2017 et 2023.

Au total, Lazarus aurait dérobé au moins 3,4 milliards de dollars en cryptomonnaies depuis sa création en 2007, constituant une source majeure de financement pour le régime nord-coréen.

Une menace cybernétique majeure pour les infrastructures nucléaires

Outre Lazarus, une autre unité nord-coréenne nommée Kimsuky (APT-43) est soupçonnée d’être responsable du piratage en 2021 de l’Institut de recherche sur l’énergie atomique en Corée du Sud, ainsi que de la fuite de données sensibles de la société Korea Hydro & Nuclear Power en 2014, gestionnaire de 23 réacteurs nucléaires sud-coréens.

Entre 2022 et 2023, ces groupes ont infiltré 83 entreprises de défense en Corée du Sud, dérobant des données confidentielles auprès d’une dizaine d’entre elles.

Selon la British National Cyber Security Centre (NCC), les hackers nord-coréens font preuve d’une audace inhabituelle, n’étant pas freinés par la peur de représailles ou de sanctions internationales. Cette liberté d’action contraste avec les groupes russes ou chinois, qui opèrent souvent dans un cadre plus prudent pour éviter des tensions diplomatiques majeures.

L’impact stratégique sur la dissuasion nucléaire

Ces cyberattaques permettent à Pyongyang de réduire les délais et les coûts liés aux essais et au développement de ses armes nucléaires. En volant des données techniques cruciales, la Corée du Nord peut copier des technologies avancées et développer des alternatives locales.

Le financement engendré par les vols et rançongiciels aide également le régime à contourner les sanctions économiques, poursuivant ainsi l’expansion de son arsenal nucléaire.

L’expert américain en sécurité nationale Richard Clarke souligne que la cyberattaque sur les systèmes nucléaires peut engendrer des risques extrêmes, notamment via des erreurs de calcul pouvant déclencher une guerre nucléaire accidentelle. Il évoque trois scénarios possibles :

• Une intrusion dans les systèmes de commandement et contrôle nucléaire provoquant des réactions en chaîne non intentionnelles.
• La falsification d’alertes de détection d’attaque, poussant un État à riposter prématurément.
• Le contrôle à distance des armes nucléaires par des hackers, rendant les armes incontrôlables par leurs détenteurs.

Cette situation met en lumière un nouveau paradigme où la cyberespace bouleverse la logique traditionnelle de la dissuasion nucléaire, permettant à un État de progresser dans ses capacités ou de perturber celles de ses adversaires sans confrontation directe.