Les pirates nord-coréens sillonnent le web en quête de butins

© Reuters

Les messages sont séducteurs, les photos attrayantes. Mais les sirènes qui tentent d’envoûter les cadres sud-coréens du bitcoin pourraient en fait être des pirates nord-coréens, préviennent les spécialistes.

Face aux multiples sanctions qui le privent de revenus pour cause de programme nucléaire, Pyongyang déploie un bataillon de pirates aguerris pour trouver des sources lucratives de devises. Ce que le Nord dément avec force.

Ses capacités en la matière avaient été mises en lumière par le piratage de Sony Pictures Entertainment en 2014, lorsque le Nord avait été accusé de se venger du film “The Interview”, une satire tournant en dérision son dirigeant Kim Jong-Un.

Mais de politiques les cibles sont devenues financières, comme la banque centrale du Bangladesh ou les plateformes d’échanges de bitcoin. Washington vient officiellement d’accuser Pyongyang d’être responsable de la cyberattaque mondiale au rançongiciel “Wannacry”.

Une plateforme sud-coréenne d’échanges de crypto-monnaies a fermé ses portes mardi, après deux piratages cette année, le premier ayant été imputé à Pyongyang.

Selon de multiples médias sud-coréens qui citent les services de renseignement de Séoul, des pirates nord-coréens se font passer sur Facebook pour d’avenantes jeunes femmes afin d’approcher les employés de plateformes d’échanges, à qui ils finissent par envoyer des fichiers contenant du code malveillant.

Ils bombardent aussi les cadres du secteur d’emails où ils prétendent rechercher un emploi, accompagnés de CV contenant des virus, afin de voler des données personnelles et professionnelles.

Moon Jong-Hyun, directeur de la société de cybersécurité EST Security à Séoul, explique que les techniques visant des personnes haut placées au gouvernement et dans l’armée à base de prétendues séductrices se sont multipliées ces dernières années.

“Ils ouvrent des comptes Facebook et entretiennent des liens d’amitié en ligne pendant des mois avant de poignarder leurs cibles dans le dos”, dit-il. Bon nombre se font passer pour des jeunes femmes étudiant dans des universités américaines ou travaillant pour des cabinets d’études.

‘Organisation criminelle’

Simon Choi, directeur de la société Hauri de Séoul, a accumulé de vastes quantités de données sur le piratage nord-coréen. Il met en garde contre la possibilité d’attaques nord-coréennes au rançongiciel depuis 2016.

Les Etats-Unis ont eux-mêmes renforcé leurs propres cyberattaques contre Pyongyang, d’après les médias.

Mais d’après M. Choi, du fait des sanctions supplémentaires, “les opérations de piratage du Nord sont passées du stade de l’attaque contre +l’Etat ennemi+ à une affaire lucrative et crapuleuse”.

Les hackers nord-coréens s’intéressent au bitcoin depuis au moins 2012, dit-il. Quand le cours s’envole, les attaques aussi. Or la valeur de la crypto-monnaie a été multipliée par 20 cette année.

Le manque de régulations et la “faiblesse des contrôles antiblanchiment” dans de nombreux pays expliquent aussi “l’attrait” des monnaies virtuelles, relève FireEye, entreprise américaine spécialisée.

Ces devises, écrivait-elle en septembre, “sont devenues une cible intéressante pour un régime qui se comporte à bien des égards comme une organisation criminelle”.

FireEye décrit trois tentatives par le Nord entre mai et juillet pour pirater des plateformes sud-coréennes d’échanges de crypto-monnaies destinées à “remplir les coffres de l’Etat ou ceux de l’élite de Pyongyang”.

En octobre, Lazarus, un groupe de pirates ayant partie liée avec le Nord, a lancé une campagne de hameçonnage contre l’industrie du bitcoin avec une fausse offre d’emploi, d’après la société américaine Secureworks.

Ces attaques contre la crypto-monnaie ne sont que les dernières en date d’une longue liste de braquages financiers en ligne imputés au Nord.

‘Imprévisibles’

Pyongyang est ainsi accusé d’avoir volé en 2016 81 millions de dollars à la Banque centrale du Bangladesh (BCB) et en octobre 60 millions de dollars à la banque taïwanaise Far Eastern International.

Le Nord dément avec colère des accusations “diffamatoires” mais pour les analystes, les traces tendent à montrer qu’elles ne sont pas si mensongères.

L’attaque contre la BCB a été reliée “à des acteurs étatiques de Corée du Nord”, selon la firme Symantec. Celle contre la banque taïwanaise présentait certaines “caractéristiques” de Lazarus, d’après le britannique BAE Systems.

Le butin est souvent blanchi dans les casinos des Philippines et de Macao ou sur des plateformes chinoises de devises, explique Lim Jong-In, professeur de cybersécurité à l’Université Korea de Séoul. Le pister est “quasiment impossible”.

L’attaque WannaCry a infecté en mai 300.000 ordinateurs dans 150 pays, verrouillant les fichiers et exigeant des centaines de dollars pour les libérer.

D’après les spécialistes, les talents nord-coréens sont repérés très jeunes et formés dans des établissements d’élite, l’Université de technologie Kim Chaek ou l’Université militaire Kim Il-Sung de Pyongyang. Les pirates sont désormais plus de 7.000.

Dans le passé, ils opéraient essentiellement à partir du Nord ou de la Chine mais la société spécialisée Recorded Future a relevé une “présence significative nord-coréenne physique et virtuelle” dans des pays aussi éloignés que le Kenya et le Mozambique.

D’après le pdg de FireEye Kevin Mandia, le Nord fait partie d’un quartette avec l’Iran, la Russie et la Chine, responsable de plus de 90% des violations informatiques rencontrées par son entreprise.

Faire face aux pirates nord-coréens est “intéressant”. Ils “sont difficiles à prédire”, dit-il.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content