Il prend sa revanche en mettant hors service tout le réseau Internet de la Corée du Nord

 

Il prend sa revanche en mettant hors service tout le réseau Internet de la Corée du Nord

Par:André Boily 

  Mardi, 8 février 2022 21:54 MISE À JOUR Mardi, 8 février 2022 21:54

Parce qu’il s’est fait pirater par la Corée du Nord, un informaticien habile a pris une solide revanche en mettant hors service tout le réseau Internet de l’État-voyou. Rien de moins!

Pirate indépendant au nom de code P4x, il a lui-même été piraté il y a un an par des agents nord-coréens qui visaient des chercheurs en sécurité occidentaux. Ces espions voulaient voler des logiciels de piratage et des informations sur les vulnérabilités des logiciels.

Bien que ces espions n’ont pu lui subtiliser quoi que ce soit, il s’est senti profondément troublé d’avoir été visé par des pirates parrainés par un État-voyou comme la Corée du Nord et aussi par le manque de soutien du gouvernement américain.

La contre-attaque par déni de service

Un an plus tard, se disant que si on ne faisait rien, les pirates allaient poursuivre les attaques. P4x ne prit les choses en main avec rien de moins que l’objectif de faire tomber tout le réseau nord-coréen! «Je veux qu'ils comprennent que si vous vous en prenez à nous, cela signifie qu'une partie de votre infrastructure va tomber pour un moment», dit-il au magazine Wired.

Wikipédia

À partir de vulnérabilités non corrigées dans les systèmes nord-coréens, P4x a trouvé le moyen de mettre à genoux les réseaux et serveurs de l’État-voyou. Comment? Par une cyberattaque somme toute très classique par déni de service (DDoS) qui submerge de requêtes les systèmes informatiques d’une organisation ou d’un pays afin de le rendre inopérant et d’en bloquer l’accès aux utilisateurs.

Sans révéler publiquement toutes les vulnérabilités exploitées, il a indiqué à titre d’exemple un bogue connu du logiciel de serveur Web NginX qui gère mal les en-têtes d’adresses http, lequel a servi à inonder de requêtes les serveurs.

La Corée du Nord roule Linux

Fait intéressant, on apprend par P4x que le système d’exploitation du pays, connu sous le nom de Red Star OS, n’est rien d’autre qu’une ancienne version du système Linux probablement vulnérable.

P4x qui exécute des simulations d’attaques pour tester la solidité des réseaux de ses clients précise que sa cyberattaque menée en Corée du Nord fut un test de pénétration réseau moyennement facile, toujours selon le magazine Wired.

Résultat du piratage, presque tous les sites Web nord-coréens étaient hors service et seuls ceux situés en dehors du pays n’ont pas été affectés, comme le site d'informations Uriminzokkiri.com.

Photo AFP

Si les armes ne servent qu'à des démonstrations de force, les attaques informatiques de la Corée du Nord sont monnaie courante.

Panne totale confirmée

Le chercheur en cybersécurité, Junade Ali, qui surveille les réseaux nord-coréens a confirmé les mystérieuses attaques à grande échelle sur les réseaux du pays, et ce sans savoir la moindre idée de qui les menait. Il a vu d’importants routeurs tomber en cascade au point de fermer l’accès Web, mais aussi les messageries : «une panne totale d’Internet affectant tout le pays». P4x précise que sa cyberattaque n’a pas coupé l’accès sortant des Nord-Coréens au reste d’Internet.

Si l’exploit technique est bien réel, surtout pour un seul pirate anonyme, sur l’ensemble du pays, il faut quand même relativiser cette panne d’Internet où seule une petite minorité a accès à des ordinateurs connectés à Internet, souligne le chercheur Martyn Williams, du projet 38 North. Il précise que la population n’a accès qu’à l’intranet déconnecté du pays et que la cyberattaque n’a mis hors service que les serveurs surtout utilisés pour la propagande et les autres fonctions destinées à un public international.

P4x confirme cela en disant qu’il n’avait pas l’intention de cibler la population du pays, mais autant que possible le gouvernement.

Pochains objectifs

L’expert P4x a maintenant l'intention d'essayer de pirater plus à fond les systèmes nord-coréens, dit-il, pour voler des informations et les partager avec des experts. En même temps, il espère recruter d'autres hacktivistes pour sa cause grâce à un site Web obscur appelé Projet FUNK, c'est-à-dire "FU North Korea" (inutile de traduire), dans l'espoir de générer une plus grande force de frappe collective. 

 

REF.:   https://www.journaldemontreal.com/2022/02/08/il-prend-sa-revanche-en-mettant-hors-service-tout-le-reseau-internet-de-la-coree-du-nord

Microsoft démantèle un réseau de hackers nord-coréens

Sécurité : La justice américaine a donné l’autorisation à Microsoft de fermer 50 domaines utilisés par Thallium, un groupe de pirates originaires de Corée du Nord.

Libellés

hackers nord-coréens, Thallium,

Sur son blog officiel, Microsoft annonce qu’il a obtenu l’autorisation, par la cour fédérale de Virginie, de prendre le contrôle de 50 domaines gérés par Thallium, un groupe de hackers nord-coréens. Ces derniers s’en sont pris à des défenseurs des droits de l’homme et des personnalités de la société civile en usurpant des marques et des propriétés de Microsoft.  Au départ, une attaque sous la forme de « phishing » avec un faux email de Microsoft pour ainsi récupérer les identifiants, les mots de passe et les coordonnées des victimes.

« Ce réseau infectait les ordinateurs des victimes, compromettait leur sécurité en ligne et volait des informations sensibles » explique Tom Burt, vice-président de Microsoft en charge de la sécurité des clients. « Leurs cibles comprenaient des employés du gouvernement, de think tank et d'universités, des membres d'organisations engagées pour la paix et les droits de l’homme, et des personnes qui travaillent sur les questions de prolifération nucléaire. La plupart vivent aux Etats-Unis, ainsi qu'au Japon et en Corée du Nord. »

 Toujours dans son billet, Microsoft révèle que c’est la quatrième fois qu'il prend des mesures contre un groupe lié à un Etat, rappelant que des groupes similaires à Thallium avaient œuvré en Chine, en Russie et en Iran. (Eureka Presse)

REF.:

La Chine à l’origine d’un nouveau malware pour intercepter les SMS

Thèmes : Internet, messagerie, Sécurité ,Hackers,


Le malware MESSAGETAP cible les opérateurs téléphoniques pour filtrer et intercepter les messages SMS. Le logiciel malveillant a été conçu par le groupe de pirates APT41, bien connu pour avoir mené des missions de cyberespionnage sous la tutelle des autorités chinoises. Selon FireEye, plusieurs opérateurs ont déjà été infectés.


Un nouveau malware d’origine chinoise vient d’être identifié par plusieurs sociétés spécialisées en cybersécurité, notamment FireEye. APT41, un groupe de pirates sous la tutelle des autorités chinoises, s’attaque aux opérateurs téléphoniques pour filtrer et intercepter une partie du trafic SMS.

Antivirus : quelle est la meilleure suite de sécurité ?

MESSAGETAP, un malware de cyberespionnage ciblé

Le groupe de hackers chinois APT41 s’illustre à nouveau avec MESSAGETAP, un malware paramétrable pour mener des missions de cyberespionnage contre les adversaires politiques et économiques de la Chine.

Selon FireEye, le logiciel malveillant enregistre le contenu des SMS, et les numéros de téléphone de l’expéditeur et du destinataire des cibles qu’il surveille. MESSAGETAP est configurable pour n’intercepter que les messages susceptibles de contenir des informations utiles. Il est en mesure de filtrer les SMS en fonction de mots-clefs, de numéro de téléphone, mais aussi en fonction du numéro IMSI, un identifiant unique à chaque appareil. La firme de cybersécurité indique également que l’outil est déjà parvenu à contaminer les serveurs de 4 opérateurs téléphoniques, sans dévoiler lesquels.

24 applications du Google Play Store infectées par un nouveau malware

Le groupe APT41 est déjà bien connu des entreprises de sécurité et des services de renseignement pour avoir mené des opérations dans une quinzaine de pays, dont la France. Ses attaques ciblent aussi bien des individus que des entreprises privées du secteur de la high-tech, du jeu vidéo, des médias, de la santé, etc. Depuis 2017, le groupe est de plus en plus actif et multiplie les opérations de surveillance et de collecte d’information. Selon FireEye, le lancement de MESSAGETAP est « représentatif de l’évolution des campagnes de cyberespionnage chinoises » qui ciblent désormais les infrastructures de télécommunication.
Plus généralement, le cyberespionnage occupe désormais une place centrale dans les services de renseignement étatiques et privés. Cette semaine, le malware nord-coréen Dtrack a infecté une centrale nucléaire indienne. L’Europe et l’Amérique du Nord pratiquent également le cyberespionnage, mais d’une manière qui semble plus efficace. Par nature, un bon service de renseignement est un service dont on n’entend pas parler.
Source : FireEye

Banques: Le Trésor américain s'en prend à trois groupes de pirates nord-coréens 

Libellés

banque, vol de donné, argent, cyberattaques, hackers nord-coréens,

 

 

 

Technologie : Les groupes de pirates nord-coréens Lazarus, Bluenoroff et Andarial sont désormais entrés dans le groupe très fermés des cibles prioritaires des autorités américaines. Et les sanctions ne se sont pas faites attendre.

Par Catalin Cimpanu | Modifié le mardi 17 sept. 2019 à 14:10

Suivre @zdnetfr

Le département du Trésor américain a imposé la semaine passée des sanctions à trois groupes de pirates informatiques contrôlés par le régime nord-coréen au motif que ces derniers auraient aidé Pyongyang à lever des des fonds pour ses programmes d'armes et de missiles. Les trois groupes cités par Washington ne sont pas inconnus du milieu. Il s'agit en effet des groupes Lazarus, Bluenoroff et Andarial. Pour le Trésor américain, ces derniers opéreraient sous le contrôle et sur ordre du Bureau général de reconnaissance (RGB), le principal bureau de renseignement de la Corée du Nord.
Ils auraient notamment eu recours à des logiciels de rançon et des attaques contre des banques, des réseaux de guichets automatiques, des sites de jeu, des casinos en ligne et des échanges de devises cryptographiques pour voler des fonds à des entreprises au bénéfice des programmes d'armements nord-coréens. Les États-Unis affirment que les fonds volés ont été détournés en Corée du nord, où ils ont été utilisés pour aider le régime de Pyongyang à continuer de financer son programme controversé de missiles nucléaires.

Outre les sanctions prononcées la semaine passée par l'Office of Foreign Assets Control (OFAC) du Trésor américain, les États-Unis ont donné instruction aux membres du secteur bancaire mondial de geler tout actif financier associé à ces trois groupes.

Le groupe Lazarus

Des trois groupes nommés aujourd'hui, le nom Groupe Lazarus (aussi connu sous le nom de Cobra Caché) est parfois utilisé pour décrire tout l'appareil de cyberespionnage nord-coréen. Il ne s'agit toutefois que d'un groupe parmi d'autres, bien qu'il se soit aujourd'hui imposé comme le plus célèbre dans le milieu de la cybercriminalité. Il opère sous l'autorité du RGB et a accès à des ressources élargies mises à sa disposition par le service nord-coréens.
Selon Washington, le groupe Lazarus est un subordonné du 110e Centre de recherche sous le 3e Bureau du RGB. Ce bureau, également connu sous le nom de 3e Bureau de surveillance technique, est chargé de superviser l'ensemble des opérations cybernétiques de la Corée du Nord. Les opérations les plus tristement célèbres du groupe Lazarus ont été le piratage de Sony Pictures Entertainment en 2014, et l'épidémie de rançon WannaCry de mai 2016.

Il ne s'agit toutefois que de deux des nombreux "faits d'arme" du groupe formé en 2007. Les représentants du Trésor ont également déclaré que le groupe a également ciblé des sociétés gouvernementales, militaires, financières, manufacturières, de publication, de médias, de divertissement et de transport maritime international, ainsi que des infrastructures essentielles, en utilisant des tactiques telles que la cyber-espionnage, le vol de données, le détournement de fonds et les opérations de destruction de logiciels. Les pertes financières causées par ce groupe sont inconnues, mais leurs vastes opérations en font le plus dangereux et le plus connu des trois.

Le groupe Bluenoroff

Mais alors que les activités du groupe Lazare se sont largement répandues, le deuxième groupe de fonctionnaires du Trésor nommé semble pour sa part avoir été créé spécifiquement pour pirater les banques et les institutions financières.
"Bluenoroff a été créé par le gouvernement nord-coréen pour gagner des revenus de manière illicite en réponse à l'augmentation des sanctions mondiales", a ainsi fait savoir l'état-major de l'administration du Trésor américain.
"Le groupe Bluenoroff mène des activités cybernétiques malveillantes sous la forme de cambriolages cybernétiques contre des institutions financières étrangères au nom du régime nord-coréen afin de générer des revenus, en partie pour ses programmes croissants d'armes nucléaires et de missiles balistiques", a-t-il expliqué pour mettre en lumière la dangerosité de ce groupe.
Depuis sa formation en 2014, le groupe (également connu sous le nom de APT38 ou Stardust Chollima), est connu pour avoir mené des cyber-attaques contre des banques au Bangladesh, en Inde, au Mexique, au Pakistan, aux Philippines, en Corée du Sud, à Taiwan, en Turquie, au Chili et au Vietnam. Son fait de piratage le plus célèbre demeure à ce jour sa tentative de voler 1 milliard de dollars sur le compte de la Réserve fédérale de New York de la Banque centrale du Bangladesh. Si le hold-up a échoué, les pirates ont toutefois réussi à subtiliser 80 millions de dollars lors de cette attaque.

Le groupe Andariel

Le troisième groupe nommé par Washington est actif depuis 2015 et se spécialise, selon le Trésor américain, dans des faits de cyberespionnage. Il s'agit du groupe Andariel, qui a souvent été vu en train de cibler le gouvernement et la population de la Corée du Sud "pour collecter des informations et créer du désordre" ainsi que pour "tenter de voler des informations sur les cartes bancaires en piratant des distributeurs automatiques de billets pour retirer des espèces ou voler des informations sur des clients pour les vendre ensuite sur le marché noir".
En outre, Andariel est le groupe nord-coréen "responsable du développement et de la création de logiciels malveillants uniques pour pirater les sites de poker et de jeux en ligne afin de voler de l'argent", comme l'a fait savoir l'administration américaine.
Celle-ci s'est notamment appuyée sur un rapport publié plus tôt cette année par le groupe d'experts des Nations Unies sur le renseignement sur la menace, concluant que les pirates nord-coréens avaient volé environ 571 millions de dollars sur au moins cinq échanges de devises cryptographiques en Asie entre janvier 2017 et septembre 2018. Le rapport de l'ONU fait écho à deux autres rapports publiés en octobre 2018, qui pointaient également du doigt les pirates nord-coréens pour deux escroqueries de cryptocriminalité et cinq piratages de plateformes commerciales. Un rapport de FireEye d'octobre 2018 blâmait également les pirates nord-coréens pour avoir effectué des vols de banque de plus de 100 millions de dollars.
"US Treasury sanctions three North Korean hacking groups", traduit et adapté par ZDNet.fr

REF.: