Selon un rapport d'expert de l'ONU, la Corée du Nord a pu capter une somme d'argent record en 2022 grâce aux cyberattaques du groupe APT Lazarus. Les cybercriminels nord-coréens auraient volé au moins 630 millions de dollars.
Le pays sanctionné utilise l'argent principalement pour financer ses programmes nucléaires et de missiles. Le groupe étatique Lazarus, entre autres, est tenu pour responsable des cyberattaques. Dans les rapports publics, le groupe Lazarus est souvent utilisé comme terme générique pour désigner de nombreux cyberacteurs nord-coréens. Un article de blog de Mandiant fournit des informations détaillées sur les différentes institutions de l'État ermite, aidant à comprendre comment les acteurs évoluent et partagent les ressources.
De nombreux groupes APT travaillent dans un même pot
TEMP.Hermit, APT38 et Andariel sont probablement subordonnés au Lab 110. Le laboratoire 110 est probablement une version étendue et réorganisée du Bureau 121, souvent appelé l'unité de piratage principale de la Corée du Nord. Le laboratoire 110 comprend certains éléments les plus étroitement associés à l'organisation signalée publiquement sous le nom de "groupe Lazarus". Les rapports open source utilisent souvent le titre du groupe Lazarus comme terme générique et font référence à de nombreux clusters que nous suivons séparément. Bien que TEMP.Hermit soit le plus souvent aligné sur les rapports du groupe Lazarus, les chercheurs et les sources ouvertes regroupent souvent ces trois groupes d'acteurs – et parfois même tous les APT nord-coréens – simplement sous le nom de «groupe Lazarus».
Cibles des cybercriminels nord-coréens
«Malgré les fluctuations du marché de la cryptographie, la Corée du Nord reste déterminée à cibler ces actifs. Ces acteurs sont impliqués dans diverses méthodes frauduleuses pour collecter des fonds et les acheminer vers les coffres du régime. Certains intrus se concentrent uniquement sur la collecte de fonds. D'autres collectent principalement des informations de renseignement et ciblent les crypto-monnaies pour financer leurs opérations. Les entreprises et les particuliers fortunés sont les cibles des attaques, qui évoluent constamment et passent souvent inaperçues. » – John Hultquist, responsable de Client Threat Intelligence chez Google Cloud.
Plus sur Mandiant.com
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.