La Corée du Nord, le nouvel Irak numérique de l’Oncle Sam ?

Le 19 décembre dernier, le FBI diffusait sur son site Internet un communiqué de presse retraçant le piratage de Sony Pictures. Pour l’Oncle Sam, pas de doute, les pirates sont des marionnettes de la Corée du Nord. Mais qui tire vraiment les ficelles, le « Bureau 39 » Nord Coréen ou la Maison Blanche ?

Nous ne reviendrons pas sur cette attaque ayant visé cette major hollywoodienne. Nous vous invitons plutôt à regarder notre émission de ce 21 décembre de zataz blog vidéo pour découvrir que des attaques contre Sony (et les fuites de données qui vont avec, durent depuis des mois, ndr). Le FBI, donc, a diffusé une mise à jour de son enquête sur cette cyberattaque ciblant Sony Pictures Entertainment (SPE). Le groupe de pirates « Gardiens de la Paix« , inconnus, même dans les espaces deep web chinois, a revendiqué la responsabilité de l’attaque.

Le FBI a annoncé avoir déterminé que l’intrusion dans le réseau de SPE se composait du déploiement de logiciels malveillants destructeurs et de vol d’informations confidentielles. Le FBI a travaillé en étroite collaboration avec la société tout au long de l’enquête. Sony a signalé cet incident en quelques heures, ce qui aurait facilité la capacité des enquêteurs à faire leur travail, et, finalement, identifier la source de ces attaques. Pour rappel, Sony a confirmé avoir eu des « infiltrations » en 2013. Autant dire qu’ils ont mis du temps à alerter. Les fichiers diffusés auront été le déclencheur. Pathétique négligence !

L’alerte de Sony à la suite du piratage.

Le FBI aurait donc  désormais suffisamment d’informations pour conclure que le gouvernement nord-coréen est responsable de ces actions. « Bien que la nécessité de protéger les sources et les méthodes ne peuvent permettre de partager les preuves » indique le FBI. Les agents expliquent cependant que l’analyse des outils utilisés par les pirates a révélé des liens vers d’autres logiciels malveillants que le FBI sait être utilisés par des nord-coréens. Codes, chiffrements, méthodes de suppression des données et les réseaux compromis. Un détail étonnant tout de même, surtout quand on sait la facilité d’acheter des outils « pirates » dans le BlackMarket. Acquérir des outils malveillants Russes, Chinois, … est simple pour un Français, Belges ou Américains (Voir notre enquête sur les boutiques de Blackmarket, ndr).

Pirates de la Corée du Nord aussi discret que les pirates chinois ?

Le FBI a également observé un chevauchement important entre l’infrastructure utilisée dans cette attaque et d’autres activités de cyber malveillants qui seraient directement liés à la Corée du Nord. Par exemple, le FBI a découvert que plusieurs protocole Internet (IP) associées à l’infrastructure connue de la Corée du Nord a communiqué avec les adresses IP qui ont été codées en dur dans le logiciel malveillant de suppression de données utilisé dans cette attaque. Le FBI ne donne pas le nom de ce programme mais zataz.com a appris d’une source sûre qu’il s’agirait du code Jokra. Le malware efface les disques durs des terminaux infectés et les force à rebooter, les rendant inutilisables. Il tente de pratiquer la même action d’effacement sur tous les disques durs connectés ou en réseau avec le terminal infecté. Jokra et ses « copies » se vendent entre 50 et 200 $ dans le marché noir 2.0.

Par ailleurs, les outils utilisés dans l’attaque SPE ont des similitudes avec une cyberattaque lancée en mars de l’année dernière contre des banques sud-coréennes et des médias locaux. Attaques qui auraient été effectuées via la Corée du Nord. Le même logiciel aurait été exploité dans l’attaque informatique d’une centrale nucléaire sud-coréenne. Pyongyang est accusée d’avoir volé des plans et menacé de s’attaque, physiquement à la centrale. La source est américaine, bien entendu.

La Corée du Nord, l’autre Irak pour l’Oncle Sam ?

2008, un internaute de 34 ans était arrêté pour avoir orchestré un espionnage électronique très ciblé à l’encontre du Ministère de la Défense de la Corée du Sud. L’espion était un transfuge venu de Corée du Nord. Won Jung-hwa avait recueilli des adresses électroniques appartenant à des fonctionnaires militaires Sud-coréens et avait diffusé des courriels piégés. A l’époque, le porte-parole du Ministère de Défense, Tae-jae, indiquait que l’intranet du Ministère n’était pas raccordé à l’Internet. En 2004, un autre pirate (ciblé cette fois en Chine) avait réussi une visite poussée dans les réseaux informatiques utilisés par le secrétariat de l’Assemblée nationale du pays et par le Korea Institute for Defense Analysis.

Mars 2013, nous apprenions que 600 pirates informatiques militaires de la Corée du Nord étaient en train de s’entrainer. A l’époque, l’Oncle Sam montrait du doigt des pirates chinois dans ses machines. Chez ZATAZ.COM, nous nous posions la question à savoir si ces « Chinois », n’étaient pas plutôt Nord Coréens. Quoi de plus simple que de cacher des « méchants » dans un pays que personne ne peut visiter librement. Jang Se-yul, un ancien soldat nord-coréen, aujourd’hui vivant en pays libre, rappelait que le collège militaire de Pyongyang forme des  pirates informatiques. Il sait de quoi il parle, il faisait parti de ces « soldats » avant de faire défection en 2008. L’ancien militaire estimait alors que la Corée du Nord avait 3.000 soldats dédiés à l’Internet, dont 600 pirates « professionnels » actifs au sein de son unité cyber. D’un autre côté, voir des militaires Nord-Coréen afficher une page à la sauce Script-kiddies sur des cibles de la Corée du Sud nous semble, à la rédaction de zataz.com, bizarre. Le pays n’est pas connu pour son humour et la gaudriole.

Septembre 2013, le site DataSecurityBreach.fr revenait sur des attaques informatiques qui auraient été lancées par la Corée du Nord. C’est ce qu’affirmaient plusieurs sociétés de sécurité informatique Coréennes (du sud). Les sites de plusieurs ministères et agences gouvernementales de la Corée du Sud avaient été impactés. Mission des « visiteurs », tenter d’obtenir des informations secrètes. Depuis 2011 ans, des activités d’espionnage informatique, qui seraient orchestrées par la Corée du Nord, ont tenté plusieurs méthodes d’attaques dont l’injection de logiciels espions ayant pour mission de récupérer des informations classées secrètes. En avril 2013, une attaque à partir d’un code espion baptisé Kim Suky avait été repéré dans plusieurs serveurs ministériels et de grandes entreprises locales.

École de pirates ou désinformation US ?

Alma mater Jang, de l’Université Mirim, qui est baptisé l’Université de l’automatisation (University of Automation) a été mis en place dans les années 1980 pour aider à l’automatisation militaire de la Corée du Nord. Une section est dédiée au piratage informatique. Des « hackers » qui profitent d’énormes avantages dans le pays. Il faut dire aussi que Puk Chosŏn a défini Internet comme un nouveau front dans sa «guerre» contre la Corée du Sud et les ennemis du pays. La grande force des « sbires » de  Kim Jong-un, le secret. Mais existent-ils vraiment ? Sont-ils une invention de l’Oncle Sam (Souvenez-vous des informations de la CIA au sujet des armes chimiques Irakiennes, ou encore des faux missiles Nord-Coréens lors d’un défilé militaire local, ndr) Les capacités du pays en ce qui concerne le « cyber »  sont difficiles à déterminer. La grande majorité des Nord-Coréens n’ont pas accès à Internet ou posséder un simple ordinateur. D’après les renseignements sud-coréens, la Coréen du Nord est soupçonnée d’être derrière la plupart des cyber-attaques (sur 70.000 institutions publiques du pays) au cours des cinq dernières années.

Alors, ces pirates ? Corée du Nord ? Chine ? Plaisantins ? Désinformation américaine à la sauce Guerre en Irak ? Hacktivistes nationalistes agissant de leur propre chef ? Étonnant que le gouvernement Nord Coréen, et ses soit disant pirates, ne connaissent ni les proxies, les VPN. Leurs méthodes s’apparentent à un voleur qui se sauve avec de gros sabot en bois et un gyrophare sur la tête !

L’avenir nous le dira… ou pas !

En novembre 2011, des pirates informatiques, ciblés en Corée du Nord, avaient été tracés en train de visiter le serveur de l’University Graduate School of Information Security, une faculté très spécialisée de Corée du sud. Le Service National de renseignement de la république sud coréenne, dirigée par Lee Myung-bak, examinait cette attaque qui avait visé les comptes de messagerie de 27 étudiants de l’Université. Pour réussir cette intrusion, la bonne vieille méthode du cheval de Troie envoyé par courriel. Les services secrets du pays indiquait déjà que le code de ce logiciel malveillant était identique aux codes malveillants propagés par la Corée du Nord. A première vue, comme a déjà pu vous l’expliquer zataz.com, le ministère de protection de la sécurité de l’État, la 35ème chambre ou encore le front uni du travail nord-coréen ont une paire d’espions dans la place. Les étudiants visés étaient tous de la même promotion. Il faut dire aussi qu’ils étaient promus à rejoindre des postes important dans des ministères, comme celui de la défense.

En août 2011, ZATAZ.COM vous révélait comment des pirates Nord Coréens avaient mis à mal deux importants portails du frère ennemi ; et de l’arrestation de 15 autres pirates Nord Coréens arrêtés, cette fois, en Chine. En Août 2011, la police Coréenne mettait la main sur des « pirates » non militaires qui infiltraient tout ce qui bougeaient… un peu comme la majorité des pirates de la planète.

Et si les pirates Nord Coréens n’étaient que des … pirates

Une idée, comme ça ! Et si les pseudos pirates Nord Coréens de Sony Pictures n’étaient rien d’autres que des adeptes de piratages de film ou de jeux vidéos. Le warez est friand de nouveautés, de fuites de films. Taper à la source (voir les 5 films volés et diffusés, ndr), une idée comme une autre chez les pros de la copie de films. Et ce n’est pas les visiteurs du marché de SyongSan (en Corée du Sud, ndr) qui me contrediront.

Autre questionnement, et si les pirates n’étaient rien d’autres que des petites mains du Gold Farming. En Août 2011, quinze pirates informatiques nord coréens étaient arrêtés… en Chine. Ils pirataient la planète afin de récupérer des « dollars » pour Kim Jong-Li. Parmi leurs actions, de la revente d´or créés dans World of Warcraft et autres jeux en ligne.

Nous vous relations le 4 août 2011, une opération policière en Corée de sud et en Chine visant une quinzaine de présumé pirates informatiques, auteurs d’actions malveillantes sur le web à l’encontre de portails communautaires et de sites gouvernementaux. Ils ont été accusés et condamnés pour le piratage de 35 millions de comptes appartenant aux utilisateurs de deux importants portails communautaires du pays. Il avait été découvert, qu’en plus de voler des données bancaires un peu partout sur le web, les « loulous » étaient des adeptes du Goldfarming, de la revente de pièces d’or et d’objets dans des jeux tels que World of Warcraft.

Parmi les pirates arrêtés, des « tenanciers » d’usine WoW. Les pirates arrêtés avaient créé des logiciels spécifiques pour agir sur des jeux en ligne MMORPG comme Lineage, extrêmement populaire en Asie, ou encore Dungeon Fighter. D’après les enquêteurs, les personnes arrêtées avaient fait leurs études dans des universités de Corée du Nord. Une grande partie des bénéfices, soit 6 millions de dollars américains en deux ans, avaient été envoyés à Pyongyang, et plus précisément au « Bureau 39 », le programme nucléaire du dictateur fou Kim Jong-Li.

Bref, voilà qui en fait des questions qui ne trouveront jamais de réponses. Et il y a de forte chance que l’unique vainqueur de cette saga soit le gouvernement américain qui peut dorénavant accentuer son besoin/envie de contrôler le réseau des réseaux.

Quand le sage désigne la lune, l’idiot regarde le doigt

Toute cette affaire permet de faire oublier l’espionnage de masse américain ; permet à Sony de faire oublier que sa sécurité était mauvaise ; que Sony gardait en mémoire le numéro de sécurité sociale d’anciens employés sur ses serveurs ; que Sony ne chiffraient aucunes de ses données ; que Sony sauvegardait ses futurs films comme de vulgaire contenus P2P. Que Sony participait avec d’autres majors à une guerre contre Google.

A quelques semaines de la sortie du film « Hacker » de Mickael Mann (Voir zataz web tv de ce 21 décembre), qui aura donc aussi pour mission de retourner la tête des spectateurs qui verront dans l’Internet un dangereux outil qu’il faut contrôler, on pourrait presque conclure que la Maison Blanche a réussi son coup de comm’ !