Il y a cinq ans, l'attaque du rançongiciel WannaCry, que les experts attribuent à la Corée du Nord, a été lancée. Les effets étaient parfois dramatiques. Un commentaire de Jens Monrad, responsable du renseignement sur les menaces chez Mandiant, EMEA, sur le développement des cybercapacités de la Corée du Nord aujourd'hui par rapport à il y a cinq ans.
WannaCry est un logiciel malveillant qui crypte des données importantes sur les systèmes infectés afin d'extorquer de l'argent aux victimes. WannaCry a exploité à cette fin une vulnérabilité zero-day dans le système d'exploitation Windows, qui a ensuite été corrigée avec un correctif de Microsoft.
230.000 150 ordinateurs cryptés dans XNUMX pays
« WannaCry n'était pas seulement l'une des attaques de ransomware les plus répandues et les plus destructrices, mais aussi un tournant pour les cyberopérations soutenues par l'État nord-coréen. Il a démontré les capacités et la volonté du régime isolé de nuire à d'autres nations dans la poursuite des intérêts nationaux. La Corée du Nord était peu incitée à "jouer selon les règles". Cette évolution se poursuit cinq ans plus tard, le régime utilisant ses cybercapacités pour soutenir à la fois les priorités politiques et de sécurité nationale et les objectifs financiers.
Aujourd'hui, alors que le groupe Lazarus est souvent utilisé comme terme générique pour désigner les cyberacteurs nord-coréens, il existe en réalité plusieurs groupes différents opérant comme des cyberentités distinctes avec des objectifs différents pour l'État. Les opérations d'espionnage du pays, par exemple, reflètent probablement les préoccupations et les priorités immédiates du régime. Celles-ci sont actuellement probablement axées sur la collecte de ressources financières par le biais de cambriolages cryptographiques, d'attaques contre les médias, les médias et les entités politiques, ainsi que sur les relations étrangères et le renseignement nucléaire.
Braquages de crypto en Corée du Nord ?
Jens Monrad, responsable Threat Intelligence, EMEA chez Mandiant (Image : Mandiant).
Dans le même temps, les chevauchements dans l'infrastructure, les logiciels malveillants et les tactiques, techniques et procédures utilisées par les groupes nord-coréens suggèrent qu'il existe des ressources partagées pour les cyberopérations et donc une coordination globale. Selon nos services de renseignement, la plupart des cyberopérations de la Corée du Nord, y compris l'espionnage, les opérations destructrices et les crimes financiers, sont principalement menées par des éléments du General Intelligence Office.
Une demi-décennie après WannaCry, les groupes nord-coréens continuent de représenter une menace sérieuse. Nous devons continuer à recueillir des renseignements sur leurs structures et leurs capacités pour identifier les schémas d'attaque qui permettent une défense proactive. Client : Not So Lazarus : cartographie des groupes de cybermenaces de la RPDC aux organisations gouvernementales.
Plus sur Mandiant.com
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.