Des gangs de rançongiciels parrainés par l’État nord-coréen ciblent des hôpitaux et d’autres organisations d’infrastructures critiques, mettent en garde les forces de l’ordre et les agences de renseignement américaines et sud-coréennes.
« Les agences en question estiment qu’un montant indéterminé de revenus provenant de ces opérations en crypto-monnaie soutient les priorités et les objectifs nationaux de la RPDC (République populaire démocratique de Corée), y compris les cyberopérations ciblant les gouvernements des États-Unis et de la Corée du Sud », indique l’alerte publiée jeudi dernier.
« Les cibles spécifiques incluent les réseaux d’information du ministère de la Défense et les réseaux membres de la base industrielle de la défense. Les IDC [indicateurs de compromission] de ce produit devraient être utiles aux secteurs précédemment ciblés par les cyberopérations de la RPDC (par exemple, le gouvernement américain, le ministère de la Défense et la base industrielle de la défense). Les agences auteurs découragent fortement le paiement de rançons, car cela ne garantit pas que les fichiers et les enregistrements seront récupérés et peut entraîner des risques de sanctions. »
Le rapport comprend les dernières tactiques, techniques et procédures (TTP) et les indicateurs de compromission (IDC) utilisés par les attaquants basés en Corée du Nord. Parmi les attaques les plus récentes figurent les tentatives d’exploitation d’applications non corrigées avec la vulnérabilité Apache Log4J2 et les appareils SonicWall non corrigées.
Les attaquants nord-coréens sont connus pour cacher d’où ils viennent, ajoute le rapport, y compris en prétendant parfois être d’autres groupes de rançongiciels, tels que le gang REvil.
L’alerte est une mise à jour d’un avertissement du 6 juillet 2022 émis par les agences américaines de renseignement et d’application de la loi, notamment la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et la NSA.
Ce rapport a noté l’utilisation par des groupes nord-coréens de la souche Maui de rançongiciel. Le nouveau rapport ajoute que ces groupes utilisent également une souche appelée H0lyGhost, décrite par Microsoft dans un rapport du 14 juillet 2022.
Ce dernier rapport survient la même semaine où l’Associated Press a rapporté qu’un panel des Nations Unies a conclu que des pirates nord-coréens travaillant pour le gouvernement ont volé des actifs virtuels, y compris des crypto-monnaies et de la propriété intellectuelle, dont la valeur est estimée entre 630 millions de dollars et plus d’un milliard de dollars.
« 2022 a été une année record pour le vol d’actifs virtuels en RPDC », a déclaré l’AP citant le rapport. En avril 2022, les États-Unis ont lié des pirates informatiques soutenus par la Corée du Nord au braquage de cryptage de 615 millions de dollars américains sur le jeu en ligne populaire Axie Infinity.
L’AP a déclaré que le panel avait identifié trois groupes – Kimsuky , Lazarus Group et Andariel – comme les principaux attaquants nord-coréens.
Entre février et juillet 2022, AP a cité le panel disant que le groupe Lazarus « aurait ciblé des fournisseurs d’énergie dans plusieurs États membres en utilisant une vulnérabilité » pour installer des logiciels malveillants et obtenir un accès à long terme. Il a déclaré que cela « s’aligne sur les intrusions historiques de Lazarus ciblant les infrastructures critiques et les sociétés énergétiques … pour siphonner la propriété intellectuelle exclusive ».
L’alerte États-Unis/Corée du Sud exhorte les services informatiques et de sécurité à :
- limiter l’accès aux données en authentifiant et en chiffrant les connexions avec les services réseau (par exemple, en utilisant des certificats d’infrastructure à clé publique dans les connexions de réseau privé virtuel (VPN) et de sécurité de la couche de transport (TLS), les dispositifs médicaux de l’Internet des objets (IoT) et la santé électronique système d’enregistrement) ;
- mettre en œuvre le principe du moindre privilège en utilisant des comptes d’utilisateur standard sur les systèmes internes au lieu de comptes administratifs, qui accordent des privilèges d’administration système excessifs ;
- désactiver les interfaces de gestion des périphériques réseau non sécurisées ou inutiles, telles que Telnet, SSH, Winbox et HTTP, pour les réseaux étendus (WAN), et les sécuriser avec des mots de passe et un cryptage forts lorsqu’ils sont activés ;
- protéger les données stockées en masquant le numéro de compte permanent (NCP) lorsqu’il est affiché et en le rendant illisible lorsqu’il est stocké – par le biais de la cryptographie, par exemple ;
- sécuriser les pratiques de collecte, de stockage et de traitement des informations personnelles identifiables (IPI) et des informations de santé protégées (ISP) en stockage et en transit à l’aide de technologies telles que TLS. (Stockez uniquement les données personnelles des patients sur des systèmes internes protégés par des pare-feu et assurez-vous que des sauvegardes complètes sont disponibles) ;
- mettre en œuvre et appliquer la segmentation du réseau multicouche, les communications et les données les plus critiques reposant sur la couche la plus sécurisée et la plus fiable ;
- et utiliser des outils de surveillance pour observer si les appareils IdO se comportent de manière erratique en raison d’un compromis.
Adaptation et traduction française par Renaud Larue-Langlois.