Voici comment la Corée du Nord utilise le numérique pour contourner les sanctions

corea_nord_nuclear_earthquake

Un rapport confidentiel de l’ONU fait la lumière sur les tactiques du régime de Pyongyang : des pirates informatiques au trafic de technologies, en passant par la cryptoconnaissance

Entre les cyberattaques e faux logiciel de négociation de devises cryptographiquesla Corée du Nord a accru ses activités pour échapper aux sanctions internationales par le biais de la domaine cybernétique. Mais les opérations informatiques des pirates de Pyongyang sont allées encore plus loin, en essayant de prendre le contrôle des systèmes de nombreux Les fonctionnaires de l’ONUdont certaines sont liées à Conseil de sécurité.

Pour certifier qu’il s’agit d’un rapport non publié de 250 pages rédigé par le Comité des Nations unies 1718, chargé d’évaluer les violations des sanctions internationales à l’encontre de la République populaire démocratique de Corée. Le document, qui Câblé a obtenu de sources confidentielLe rapport de la Commission européenne, intitulé « Les activités commerciales et informatiques du pays », décrit les activités commerciales et informatiques du pays et les éventuelles violations des réglementations internationales.

Pyongyang fait l’objet de mesures restrictives depuis 2006, lorsque les 15 membres du Conseil de sécurité des Nations unies ont approuvé son activation pour contenir ses activités nucléaires et de missiles. « La Dprk (République populaire démocratique de Corée, éd.) continue à perpétrer des cyber-attaques contre les institutions financières et les services de change cryptés dans le monde entier ».il se lit.

Le palais de verre est attaqué

Le groupe d’experts s’est concentré sur les deux principaux groupes de hackers en Corée du Nord : Lazarus et Kimsuky. Alors que le premier est spécialisé dans la pénétration du secteur financierla seconde est attribuée aux attaques contre les infrastructures critiques de la Corée du Suden plus de plusieurs harponnage contre des fonctionnaires détachés au Palais de verre. Ce terme désigne l’envoi de courriers électroniques personnalisés par un expéditeur apparemment connu ou fiable et leur but est d’inciter la cible à fournir de manière indépendante des informations ou à accéder à ses appareils.

L’un des épisodes décrits remonte à août 2019, lorsque Kimsuky a lancé une telle campagne contre les missions permanentes de cinq États membres du Conseil de sécurité des Nations unies : Chine, France, Belgique, Pérou, Afrique du Sud. Bien que les activités du groupe aient déjà fait l’objet d’une rapport publié en septembre parAgence nationale de la sécurité des systèmes d’information (Anssi), l’attaque contre les cinq pays n’avait pas encore été officiellement attribuée à Pyongyang. Des sources accréditées ont confirmé à MLActu qu’il s’agit de l’un des modes d’attaque le plus utilisé par les services nord-coréens.

Le même groupe est également tenu responsable d’une opération visant à « acquérir des compétences [[de harponner dans le texte, éd] de 38 adresses électroniques d’autres représentants de gouvernements étrangers auprès des Nations unies ».. Tous les pays cibles identifiés étaient membres du Conseil de sécurité au moment de l’attaque..

Mais les activités offensives du groupe ont duré au moins aussi longtemps que Janvier 2020visant également les membres de la Commission de l’Unsc 1718 eux-mêmes. « Le Groupe réitère son point de vue selon lequel les attaques passées et actuelles contre les organes des Nations unies chargés de surveiller l’application des sanctions de l’ONU, tels que le Groupe et le Comité, équivalent à une évasion sanctionnée ».…que vous pouvez lire dans le document.

Divisé en huit sections et 73 fiches annexesLe rapport décrit en détail les activités entreprises par la Corée du Nord dans le domaine du cyberespace, y compris les attaques contre d’autres pays. A commencer par la Corée du Sud, dont la société d’énergie hydroélectrique et nucléaire aurait été un objectif dès 2015, comme rapporté avant Reuters. Plus récentes sont les opérations contre la centrale nucléaire de Kudankulam en Indedans le Tamil Nadu, et leObservatoire indien de recherche spatiale…qui ont eu lieu respectivement en septembre et octobre 2019, mais cette fois-ci attribuées au groupe Lazarus. « Le panel a enquêté sur les attaques comme une possible violation de l’embargo sur les armes par des moyens informatiques. »…précise le rapport.

Celas Limited

Lazare, Gardiens de la paix, Cobra caché…Le groupe est appelé par de nombreux noms par les experts en sécurité informatique. Toutefois, ils sont souvent désignés par le nom de code « Apt 38 »qui identifie la manière unique d’agir de lMenace persistante avancée (Apt) en question et ses objectifs. Dans le cas de Lazarus, cependant, ces derniers sont suffisamment hétérogènes pour qu’il soit nécessaire d’identifier deux sous-groupes : Andariel e Bluenoroff. S’il y a généralement les cibles militaires e les infrastructures critiques (comme la centrale nucléaire du Tamil Nadu), la deuxième équipe a plutôt développé au fil du temps une forte compétence dans le monde de cryptocourant.

On attribue à Lazarus le développement d’un faux logiciel de gestion de portefeuille virtuel, grâce auquel ils ont pu avoir accès aux systèmes informatiques des victimes et à leur argent. Une opération soignée jusque dans les moindres détails, avec la création d’un site web apparemment légitime et habilité à la fausse société Celas Limitedbasé à Cedar Springs, Michigan. Toute personne recherchant logiciel gratuit de négociation de cryptocurrences pourrait tomber sur leurs logiciels les plus téléchargés, Celas Trade Pro.

Vous pouvez lire la description des services offerts par la fausse entreprise : « L’utilisation de la technologie des chaînes de blocs devrait s’étendre à de nouveaux marchés. Les atteintes à la sécurité ont mis l’accent sur la sécurité dans tous les les applications de la technologie de la chaîne d’approvisionnement. Celas Llc produit des solutions client-serveur à chaînes de blocs résistantes pour le marché des entreprises ».. De nouvelles vérifications de Câblé une autre société portant un nom similaire est enregistrée à Cedar Springs, ce qui suggère que les attaquants ont utilisé son identité pour rendre l’escroquerie plus crédible, comme dans une sorte d’hameçonnage d’entreprise.

Les premiers à découvrir les activités cachées derrière Celas Llc ont été les chercheurs de Kaspersky Lab en 2018. Une analyse du logiciel malveillant avait déjà révélé une partie du code qui avait été retracée jusqu’à un acteur nord-coréen potentiel. Toutefois, le rapport de l’ONU est le premier document officiel à attribuer la paternité de l’opération à une organisation contrôlée par l services de Pyongyang.

Une autre attaque identifiée par les chercheurs des Nations unies, Jmt Trader, avait été découverte dans laOctobre 2019 de l’entreprise MalwareTeamHunter. « Comme dans le cas de Celas Trade Pro, Jmt Trader est la version modifiée du logiciel d’échange légitime [di criptovalute, ndr] Qt Coin Trader ».Le rapport, qui souligne la capacité multi-plateforme des instruments d’attaque de la Corée du Nord, qui peuvent être installés à la fois sur Windows qui MacOs.

L’ombre russe, le reflet chinois

La Corée du Nord n’a pas de la capacité directe de gérer leurs propres réseaux de télécommunicationspour laquelle il doit s’appuyer sur des techniciens russes. En outre, les opérateurs informatiques du pays vivent dans un contexte un isolement international important et souffrent d’importantes limitations d’accès au réseau. Tous les facteurs qui rendent très difficile le développement de solides compétences dans le domaine de la sécurité et de la sûreté.et cela suffirait à certains pour douter du réel potentiel offensif du pays. Cependant, les informaticiens nord-coréens voyagent beaucoup, notamment dans le but de générer des profits qui contribueront à l’économie de leur pays. Chine, Fédération de Russie, Ukraine et Serbie sont les destinations préférées, avec le Canada et les États-Unis. Les pays dans lesquels les techniciens ont également la possibilité de renforcer leurs compétences, générant également un revenu estimé à 20 millions de dollars par anau profit des caisses de Pyongyang.

Mais les voyages touristiques et d’études sont également en hausse : le seul Fédération de Russie délivrés aux ressortissants nord-coréens au cours du troisième trimestre de 2019, 7 703 visas de tourisme avec une augmentation de 12 fois par rapport à la même période en 2017. Les visas d’études ont augmenté de 3 611 unités. Mais le groupe d’experts examine également certaines les activités et les entreprises technologiques ouvertes en Chinesoupçonnés d’être en réalité contrôlés par la Corée du Nord, qui les utilise pour générer des profits.

La notoriété des pirates informatiques nord-coréens s’est donc accrue au fil du temps, au rythme des rapports d’analyse des menaces et des sanctions internationales. Déjà en 2016, Stefano Mele, analyste et président de la Commission de la cybersécurité du Comité atlantique italien, avait consacré une étude approfondie au phénomène, précisant que « la les méthodes de guerre asymétriques et non conventionnelles ont toujours été les préférés du gouvernement nord-coréen – en temps de paix comme en temps de guerre – pour contrer la force militaire de ses principaux antagonistes : la Corée. du Sud et des États-Unis »..

À l’époque, il s’agissait de cyberattaques de faible intensité et elles étaient davantage axées sur acquérir des informations ou comme activité perturbatrice. Le début d’une montée en puissance qui a conduit Pyongyang à augmenter les enjeux, comme dans le cas de l’attaque de la centrale électrique de Kudankulam en octobre dernier. « Aujourd’hui, la priorité est développement de capacités cybernétiques en faveur d’une stratégie asymétrique – a expliqué Apples à Câblé -, mais l’intérêt du gouvernement nord-coréen pour la cryptoconnaissance est également à surveiller avec beaucoup d’attention ».

Le rassemblement d’experts

Dans les 250 pages du rapport, il y a également une référence à la Conférence sur la cryptoconnaissance accueillie à Pyongyang en avril 2019, à laquelle ont participé des experts et des fonctionnaires de la République populaire et certains invités internationaux avec un historique sur les questions liées à l’application des technologies blockchain. Parmi eux, le citoyen américain Virgil Griffithparmi les fondateurs de la Fondation Ethereum, qui fait actuellement l’objet d’une enquête dans son pays pour violation des restrictions imposées à la Corée du Nord et pour avoir le transfert des connaissances des spécifications sur l’utilisation de la chaîne de blocage afin d’échapper aux sanctions internationales.

Le rapport poursuit en citant le site web de l’événement et rapporte que parmi les invités, il y aurait eu « Des experts de l’industrie des chaînes de blocs et des cryptocurrences se sont réunis à Pyongyang où ils ont ont partagé leurs connaissances et leur visionétabli des liens durables, discuté des opportunités et signé des contrats dans le domaine des technologies de l’information ».. Cependant, il s’agit probablement d’une erreur de citation, puisque cette dernière phrase est absente du site original. Il s’agit probablement d’une référence aux activités entrepreneuriales cultivées dans le pays par certains entrepreneurs, dont l’Italien Fabio Pietrosanti, qui développe en Corée du Nord technologies les soins de santé en open source. Contacté par Câblé, Pietrosanti explique que « la les sanctions n’ont jamais été discutées pendant la conférence ». plutôt « ont été fortement découragés par les organisateurs eux-mêmes »..

La présence d’une référence à la conférence dans le rapport avait déjà été anticipée de Reutersqui rapporte comment le panel d’experts a invité les citoyens à s’abstenir de participer aux événements organisés en République populaire. Un avis rendu encore plus nécessaire par le fait qu’après avril 2019, l’organisme organisateur s’était empressé de publier les dates de l’édition 2020, prévue entre le 22 et le 29 février. Mais en réalité, l’événement a été annulée dès décembre en raison de la crainte des participants potentiels de mesures juridiques, comme expliqué à Câblé de certaines sources. Les informations sur la deuxième édition de la conférence ne sont disponibles qu’à travers les copies d’archives de la page de présentation, où il est encore possible de consulter le programme. Les organisateurs de l’événement n’ont pas répondu à une demande d’information de Câblé.