Le groupe de pirates informatiques Lazarus cherche à subtiliser la propriété intellectuelle des sociétés de la filière de l’énergie. Partout dans le monde, il a alors orchestré une campagne de cyberattaques entre les mois de février et juillet derniers. Pour supporter leur financement, les cybercriminels ont également mené cette année de nombreuses offensives contre des sociétés de cryptomonnaies.
Le cyber-gang nord-coréen Lazarus avait été soupçonné en juin dernier d’être derrière le piratage de la chaîne de blocs Harmony. .Des monnaies cryptographiques d’une valeur de 100 millions de dollars avaient été dérobées lors de cette attaque
Pour prévenir ce genre d’incident, plusieurs organisations cherchent aujourd’hui à renforcer la protection de leur système informatique. Ce qui pourrait entraîner la création de mission portage salarial. Pour en profiter, les consultants portés en cybersécurité ont la possibilité d’en chercher sur le site carrière de l’entreprise de leur choix. Cependant, de nombreuses opportunités sont également proposées sur les plateformes spécialisées en ligne, les réseaux sociaux, à l’instar de LinkedIn…
Des entreprises énergétiques ont été visées par le cyber-gang
Plus tôt dans l’année, la sidechain Ronin s’était également fait dévaliser à hauteur de 625 millions de dollars en crypto-devises. Le groupe Lazarus avait alors une nouvelle fois été suspecté d’avoir commis ce vol.
Cette association de malfaiteurs bénéficie de l’appui du gouvernement nord-coréen. En le soutenant dans ses opérations de cyberespionnage, Pyongyang veut assouvir ses intérêts. Les pirates sont spécialisés dans le vol de propriété intellectuelle pour des desseins militaires. Cependant, depuis peu, ils focalisent leurs offensives sur les sociétés du domaine de la crypto-devise pour assurer leur financement.
Le 8 septembre 2022, Cisco Talos a fait une nouvelle révélation concernant les hackers de Lazarus. Le cyber-gang a conduit entre février-juillet derniers des vagues de cyberattaque visant des fournisseurs d’énergie autour du globe, d’après l’entreprise. Des compagnies japonaises, canadiennes et américaines avaient alors été touchées par cette campagne malveillante, dévoile son communiqué. Trois chercheurs de la société, Vitor Ventura, Asheer Malhotra et Jung soo An ont déclaré que l’objectif premier de celle-ci :
[…] Était probablement d’établir un accès à long terme aux réseaux des victimes pour mener des opérations d’espionnage en accord avec les objectifs du gouvernement nord-coréen.
Les pirates ont profité d’une faille Log4shell
Les trois spécialistes ont expliqué que les attaques lancées en février-juillet 2022 s’alignent sur les actions malveillantes historiques du cyber-gang. Ce dernier ayant visé des sociétés de la filière énergétique et des infrastructures stratégiques pour :
[…] Établir un accès à long terme pour siphonner la propriété intellectuelle.
Les experts de Cisco Talos ont découvert que Lazarus avait exploité la vulnérabilité Log4Shell au cours de ses interventions. Cette faille aurait été contenue dans le logiciel utilitaire Log4J depuis 2021. Les hackers s’en étaient servis pour s’infiltrer dans les serveurs VMware Horizon et y installer :
- Deux malwares, appelés YamaBot et VSingle ;
- Un implant de programme malveillant inconnu, baptisé MagicRAT.
Le succès d’une intrusion réalisée après a mené, selon les chercheurs, vers le téléchargement de leur boîte à outils. Ceci à partir de serveurs en ligne. Les spécialistes ont ajouté que dans la majorité des cas, les pirates ont :
[…] Instrumenté le shell inversé pour créer leurs propres comptes d'utilisateurs sur les points de terminaison auxquels ils avaient un accès initial.
Les premières informations de ces activités d’espionnage avaient été divulguées en avril dernier par Symantec. La société imputait précisément ces manœuvres à une division de Lazarus dénommée Stonefly. Cette division est plus célèbre sous les appellations de Silent Chollima, d’OperationTroy, de Guardian of Peace et de Andariel.
