Discussion :

[Ryu2000]

Cyberattaque Wannacry: Washington accuse la Corée du Nord

"Cette vaste attaque a coûté des milliards et la Corée du Nord en est directement responsable", a écrit le conseiller à la sécurité intérieure de Donald Trump, Tom Bossert, dans le Wall Street Journal. Il doit fournir de plus amples détails mardi matin lors d'un point presse. "Nous ne portons pas ces accusations à la légère. Elles reposent sur des preuves", affirme-t-il. En octobre, le gouvernement britannique avait accusé la Corée du Nord d'être à l'origine de cette cyberattaque, qui avait notamment mis à mal le service public de santé britannique (NHS).

Les USA ont tendance à accuser n'importe qui.
Mais peut être que pour une fois ils ont des preuves crédible ^^

[Stéphane le calme]

WannaCry : les États-Unis incriminent officiellement la Corée du Nord,
« avec un très haut niveau de certitude »

Cette année, l’un des logiciels malveillants qui a beaucoup fait parler de lui est le ransomware WannaCry. Pour rappel, le ransomware WannaCry a ciblé une vulnérabilité critique de Server Message Block (SMB) que Microsoft a corrigée avec son patch MS17-010 qui a été diffusé le 14 mars 2017 et s’est appuyé sur deux exploits de la NSA diffusés par les Shadow Brokers : EternalBlue, pour infecter les systèmes, et DoublePulsar, comme porte dérobée.

Durant sa campagne, il a infecté des milliers d’entreprises de par le monde, affectant différents secteurs de l’industrie, mais également des particuliers.

Plusieurs experts en sécurité informatique qui avaient examiné le code de WannaCry après l’attaque, avaient repéré des similarités avec celui utilisé pour attaquer Sony Pictures, l’œuvre d’un groupe de pirates très compétents appelé Lazarus, suspecté d’être parrainé par l'agence d’espionnage de la Corée du Nord, le Reconnaissance General Bureau (RGB).

Ayant mené une enquête sur WannaCry, la NSA a également indiqué dans ses résultats en interne en juin 2017 qu’elle pensait, avec une « confiance raisonnable », qu’il s’agit de l’œuvre du groupe Lazarus. La NSA aurait par exemple identifié des adresses IP en Chine, historiquement utilisées par Lazarus pour brouiller ses pistes.

Si cette conclusion n’était que le fruit d’une divulgation d’une source au Washington Post, cette fois-ci l’administration Trump l’a rendue officielle. En effet, ce lundi 18 décembre, les États-Unis ont accusé la Corée du Nord d’être « directement responsable » de la cyberattaque mondiale WannaCry.

Tom Bossert, conseiller à la sécurité intérieure de la Maison-Blanche, affirme « avec un très haut niveau de certitude » que la Maison-Blanche est parvenue à ces conclusions « à la suite d’une enquête minutieuse ».

« Il ne s’agit pas d’une accusation lancée à la légère. Elle est fondée sur des preuves. Nous ne sommes pas non plus les seuls à le penser. D’autres gouvernements et entreprises privées sont d’accord avec nous. Le Royaume-Uni attribue cette attaque à la Corée du Nord et Microsoft est remonté jusqu’à ses auteurs, qui sont affiliés au régime nord-coréen. »

« L'attaque s’est généralisée et a coûté des milliards, et la Corée du Nord est directement responsable », a-t-il insisté.

Et de regretter que « La Corée du Nord a agi particulièrement mal, en grande partie sans contrôle, pendant plus d'une décennie, et son comportement malveillant est de plus en plus flagrant », estimant que « WannaCry était inconsidérément imprudent. »

La condamnation publique de Washington n'inclut aucun acte d'accusation ni de nom de personne en particulier, a ajouté le responsable de l'administration, ajoutant que cette procédure visait à rendre Pyongyang responsable de ses actes et « éroder et réduire leur capacité à lancer des attaques. »

En France, une enquête avait été ouverte par le parquet de Paris et confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.

En juin, la Corée du Nord avait démenti, aux Nations unies, être à l’origine de la cyberattaque.

L'accusation des États-Unis intervient dans un contexte où des inquiétudes sont soulevées quant aux capacités de piratage de la Corée du Nord et à son programme d'armement nucléaire.

Source : WSJ, Reuters

Et vous ?

Qu'en pensez-vous ?

[alexetgus]

"Haut niveau de certitude", "suspectés", "confiance raisonnable", "nous ne sommes pas les seuls à le penser", ...

En voilà un dossier solide, que des doutes !
Les USA devraient se calmer avec leurs accusations à la légère. A moins que ça ne serve leurs intérêts comme en Irak.
Comme par hasard, c'est la Corée du Nord qui est désignée. Ca tombe au bon moment ! A quand les frappes sur ce pays ?

[koyosama]

Ah je me rappelle quand Sony a lancé la mode. Je ferais la même chose, c'est la faute à la Corée du Nord dès que je fais une bourde.

[arond]

@koyosama

Mais non !!! il faut alterner entre la Russie la Chine et la corée du nord. Et de temps en temps les terroristes pour se souvenir que sa existe comme sa tu tapes pas toujours sur les mêmes. Effet Garantie !

[Pill_S]

Y'a 6 mois tout le monde se fendait pas la gueule en se disant qu'un tel pays d'arriérés ne pourrait jamais rien pirater?

Ha oui pardon, maintenant qu'on soupçonne la CdN d'être capable de faire péter une bombe H et en plus de l'embarquer sur un missile, on revoit notre copie c'est ça?

A ce rythme-là dans 6 mois on dira qu'ils sont à la pointe dans tous les domaines high-tech?

Arrêtez de faire des plans sur la comète, la vérité c'est que personne n'en sait rien, et ça ça sent surtout l'argument foireux pour justifier (ou aider à justifier) une future attaque... mais pas informatique cette fois

[Ryu2000]

et ça ça sent surtout l'argument foireux pour justifier (ou aider à justifier) une future attaque... mais pas informatique cette fois

C'est marrant ça me rappel le discours d'une personne fan de la guerre et de la destruction :
Clinton: US should use 'military response' to fight cyberattacks from Russia and China

"As President, I will make it clear that the United States will treat cyberattacks just like any other attack. We will be ready with serious political, economic, and military responses," she told the attendees, largely made up of veterans and their supporters.

C'est pratique, il suffit que des hackers fassent une attaque sous faux drapeaux (par exemple, des israéliens qui se font passer pour des Russes) et paf ! ça fait une guerre mondiale.
Ben du coup heureusement qu'elle a perdue les élections.
Parce que cette news aurait peut être été un prétexte suffisant pour attaquer militairement.

[marsupial]

Tous les observateurs à l'époque se sont accordés à mettre en cause Lazarus qui serait depuis Sony reconnu comme étant le bras "armé" de la Corée du Nord.

[Pierre GIRARD]

Oui, mais bon ... la théorie du complot etc... Depuis Kennedy, tout ce que disent les américains est suspect, même le premier pas d'un homme sur la lune. Ma question serait plutôt : Mais pourquoi certains cherchent absolument à protéger les Russes, les Coréens ou d'autres quand des soupçons pèsent sur eux. A en crore certains, les Coréens et les Russes sont tellement nuls en informatique et donc qu'il est rigoureusement impossible qu'ils puissent faire quoi que ce soit contre les invulnérables Américains.

Moi, je me contente d'attendre d'en savoir plus, mais le moment n'est pas aux conclusions.

Autre chose, pour autant que je sache, les armes chimiques Irakiennes n'étaient pas totalement bidon (même si ça s'est avéré faux ou au moins largement sur-évalué) dans la mesure où les Américains en avaient fournies aux Irakiens dans leur guerre contre l'Iran. Mais bon, la théorie du complot a la vie belle, alors : Faisons une confiance totale à ces merveilleux Coréens du Nord incapables de nous créer quelque soucis que ce soit dans quelque domaine que ce soit.

[Aeson]

Il y en a vraiment encore qui pensent que les USA de Trump sont credible ? lol

[Pierre GIRARD]

Il y en a vraiment encore qui pensent que les USA de Trump sont credible ? lol

Au moins autant que la Russie de Poutine ou la Corée de Kim Jong-un. La différence, c'est que Trump n'est pas seul, en face de lui, il y a :
- La Chambre des représentants
- Le Sénat
- La Séparation des pouvoirs et donc une justice indépendante avec à sa tête la Cour suprême
- Des états fédéraux ayant une certaine autonomie interdisant au président de faire n'importe quoi
- Une Presse indépendante et critique (certains présidents sont tombés grâce à la presse)
- Etc...

Donc non, je n'ai aucune confiance en Trompe, d'ailleurs, il est lui-même sous le coup d’enquêtes internes concernant les dernières élections présidentielles, mais il peut parfaitement être démis de sa fonction. En revanche, il n'existe aucun contre-pouvoir en Corée du Nord ni en Russie, ni en ... Ce qui fait une énorme différence.

[Aeson]

En revanche, il n'existe aucun contre-pouvoir en Corée du Nord ni en Russie

Ou est-ce que j'ai parle de CdN et de la Russie ? T'avais envie de parler pour rien dire apparement....

[Pierre GIRARD]

Ou est-ce que j'ai parle de CdN et de la Russie ? T'avais envie de parler pour rien dire apparement....

Ça n'est pas une envie, c'est juste que c'est précisément le sujet du fil : "WannaCry : les États-Unis incriminent officiellement la Corée du Nord". Et toi tu réponds à ce fil par : "Il y en a vraiment encore qui pensent que les USA de Trump sont credible?". Ma réponse à TA question va donc directement dans le sens du fil concernant les USA et la Corée du Nord. Contrairement à toi, sur cette affaire, j'ai beaucoup plus de raison de croire les USA que les Coréens ... d'où mon intervention précédente.

[Aeson]

... on va dire que t'as raison ca ira plus vite

[Stéphane le calme]

Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière le virus WannaCry,
en partant d'un CV comme indice ?

Le 6 septembre, le ministère de la Justice des États-Unis a officiellement accusé un développeur nord-coréen d’être parmi les instigateurs de certaines des plus grandes cyberattaques de ces dernières années.

Selon l'acte d'accusation de 176 pages, Park a travaillé pour Chosun Expo Joint Venture, une entreprise qui serait liée à une unité de renseignement militaire nord-coréenne appelée Lab 110 mais qui se fait passer pour une entreprise de jeu et paris en ligne.

Park ferait partie d’une unité connue sous le nom de "Lazarus Group", que les États-Unis allèguent également liée à d’autres campagnes de spear phishing, à des attaques par logiciels malveillants et à la tentative de vol de documents et d’argent des banques d’Asie du Sud-Est et d’Afrique.

Le hacker nord-coréen a été inculpé d'un chef d'accusation de complot en vue de commettre une fraude informatique et d'un autre chef de complot en vue de commettre une fraude électronique. L’accusation de fraude informatique peut conduire à cinq ans d’emprisonnement au maximum, tandis que la fraude électronique peut aller jusqu’à 20 ans.

Il est peu probable que Park soit extradé car les États-Unis n’ont pas de relations formelles avec la Corée du Nord.

Park Jin Hyok

Les différentes attaques qui lui sont attribuées

Le piratage de Sony Pictures en novembre 2014 a conduit à la publication de milliers de courriers électroniques internes, de documents et d'autres informations telles que les salaires et les films non publiés.

L'attaque a eu lieu avant la sortie du film de comédie The Interview, qui dépeint un complot fictif de la CIA visant à tuer le dirigeant nord-coréen Kim Jong-un.

Un mois plus tard, des responsables américains ont accusé la Corée du Nord de l'attaque, une accusation soutenue par plusieurs organisations, dont une liée au gouvernement sud-coréen.

La cyberattaque WannaCry a eu lieu en 2017 lorsque le ransomware a infecté environ 300 000 ordinateurs. Il fallait que les personnes touchées par le virus paient une certaine somme en Bitcoin pour accéder à leurs fichiers à nouveau.

Une autre attaque informatique de grande envergure que les États-Unis avaient attribués à la Corée du Nord était le transfert illicite de 81 millions de dollars d’une banque bangladaise en 2016.

En somme, selon l’acte d'accusation du DOJ de 179 pages, les États-Unis estiment que Park Jin Hyok, un Nord-Coréen de 34 ans, est l'une des nombreuses personnes à l'origine d'une longue série d'attaques de malwares et d'intrusions, telles que:

• le ransomware WannaCry qui a fait beaucoup parlé de lui en 2017;
• les tentatives de piratage de l'entrepreneur de défense américain Lockheed Martin en 2016;
• Les opérations lancées contre la Banque centrale du Bangladesh 2016;
• L’intrusion chez Sony Pictures Entertainment en 2014;
• L’intrusion dans les systèmes des chaînes américaines de cinéma AMC Theatres et Mammoth Screen en 2014;
• Une longue série de piratages d'organisations de médias, de banques et d'entités militaires sud-coréennes sur plusieurs années et;
• des piratages de banques à travers le monde de 2015 à 2018.

Le CV qui met sur la voie

La Chosun Expo Joint Venture s'est engagée à la fois dans le hacking et dans les affaires régulières, travaillant avec des clients sur des projets logiciels et informatiques et utilisant des services de messagerie gratuits, notamment Gmail, selon la plainte pénale. L’acte d’accusation souligne qu’un indice a permis aux enquêteurs de progresser lorsque le prétendu supérieur de Park a envoyé son CV et sa photo à une autre entreprise dans le cadre de ses opérations technologiques quotidiennes.

Les enquêteurs ont consulté environ 1 000 comptes de messagerie et de médias sociaux en utilisant une centaine de mandats de recherche et les ont utilisés pour rassembler une image des hackers et de leurs opérations, selon la plainte.

Eric Chien, directeur technique de la réponse de sécurité chez Symantec Corp., une société de sécurité numérique basée à Mountain View, en Californie, qui suit le Lazarus Group et est cité dans le rapport du ministère de la Justice, a déclaré que les hackers vont probablement changer leur infrastructure mail. "Nous nous attendons à une accalmie, puis à une reprise d’activité", a déclaré Chien dans une interview.

Les choses se précisent

L’acte d’accusation du Département de la justice, l’un des plus importants en son genre en ce qui concerne le nombre de pages, énumère une vaste gamme d’adresses électroniques utilisées pour enregistrer des noms de domaine et acheter des services d’hébergement utilisés dans tous les cas.

Il inclut également les adresses IP utilisées pour accéder aux serveurs de commande et de contrôle des logiciels malveillants, aux comptes de médias sociaux et aux serveurs piratés hébergeant des logiciels malveillants utilisés dans les attaques.

Les responsables affirment avoir identifié les comptes de messagerie et de médias sociaux que Park utilisait lors de son travail à Chosun Expo, ainsi que les comptes de messagerie et de médias sociaux utilisés par Lazarus Group pendant ses quatre années de piratage.

Les enquêteurs signalent en particulier un personnage faux nommé "Kim Hyon Woo" qui semble avoir des liens par adresse IP ou par adresse électronique avec les opérations de piratage de Lazarus et leurs victimes.

Mais les responsables ont déclaré que malgré les efforts déployés par Park pour ne pas utiliser son personnage, ses e-mails et ses adresses IP réels pour accéder à l’infrastructure du Groupe Lazarus et aux serveurs piratés, il a finalement laissé des traces reliant ses comptes réels au personnage:

« Les connexions entre les comptes Expo Chosun de PARK et les comptes Kim Hyon Woo incluent un accès partagé à une archive .rar cryptée, un enregistrement des comptes Kim Hyon Woo dans le carnet d'adresses de Chosun Expo Accounts, un accès à ces comptes à partir des mêmes adresses IP, entre autres ».

Les fonctionnaires sont persuadé que les comptes en ligne associés au personnage "Kim Hyon Woo" ont été utilisés par plusieurs opérateurs, et ils sont convaincus que Park était l'un d'entre eux.

De plus, en raison de ses antécédents en matière de programmation, ils croient également qu’il a participé à la création du logiciel malveillant Lazarus Group.

Lequel, les fonctionnaires du DOJ ne sont pas certains. Mais ils ont souligné qu'il existe d'innombrables liens entre les différents logiciels malveillants auxquels les opérateurs du groupe Lazarus ont eu recours au fil des ans.

« Les échantillons WannaCry et Trojan.Alphanc ont tous deux utilisé l'adresse IP 84.92.36.96 comme adresse IP de commande et de contrôle. Cette adresse IP était également une adresse de commande et de contrôle pour un échantillon de logiciels malveillants obtenus par le FBI, qui supprime une charge utile de logiciels malveillants de la même manière que les autres logiciels malveillants que les sociétés de cybersécurité privées ont attribués au Groupe Lazarus, ainsi que d’autres utilisés pour cibler Lockheed Martin. Le 29 février et le 1er mars 2016, une adresse IP nord-coréenne connectée à cette adresse IP. [...] Plus précisément, cette adresse IP nord-coréenne a été utilisée pour accéder au serveur Web compromis, le 8 janvier 2016; les 22 et 27 janvier 2016, il s'est également connecté à un ordinateur compromis en Caroline du Nord infecté par des logiciels malveillants liés à l'attaque de SPE; et, le 10 mars 2016, il a été utilisé pour accéder à un profil Facebook auquel il était possible d'accéder depuis l'adresse IP nord-coréenne # 2 le 13 décembre 2015 ».

L’acte d’accusation présente plus de détails de ces connexions et développe un maillage complexe qui relie toutes les infrastructures du groupe Lazarus, puis mène au faux personnage de Kim Hyon Woo, puis aux comptes de Chosun Expo connus auparavant pour avoir appartenu à Park.

Source : acte d'accusation (au format PDF)

Et vous ?

Cela vous semble-t-il suffisamment crédible ou estimé vous qu'il y ait des chances que ce ne soient que des conjectures malheureuses ?

Voir aussi :

Le CEO de Google refuse de s'exprimer devant le Sénat américain sur l'ingérence russe lors des élections US de 2016
Un groupe de hackers aurait réussi à pirater PlayStation Network de Sony et a revendiqué l'attaque via un compte Twitter officiel de PlayStation
Sony capitule face aux menaces des pirates et renonce à sortir son film « The Interview », provoquant ainsi la colère de nombreux acteurs
Piratage de Sony : des hackers menacent de lancer une attaque terroriste contre les salles de cinéma qui vont projeter le film « The Interview »
Sony Pictures victime d'un piratage par la Corée du Nord ? L'attaque pourrait être une riposte suite à la sortie du film 'The Interview'

[alexetgus]

Quand la Corée du nord publie une info, on est en droit de discuter cette info.
La Corée du nord est une dictature et elle n'hésitera pas à sacrifier un pauvre citoyen qui n'a rien à voir dans l'affaire !

Vous devriez avoir honte de diffuser ce type d'info invérifiable !

[4sStylZ]

C’est les états unis qui l’accusent. Pas la corée du nord.

[alexetgus]

Tu as vu qui est président des USA ?

[Itachiaurion]

Tu as vu qui est président des USA ?

Que je sache Donald Trump n'est pas expert en informatique ni en sécurité. Un président n'est pas représentatif de son état et il est fort probable qu'il ignorais l'existence même de cette personne avant que cela soit révéler officiellement ou non. C'est un peu comme dire la même chose mais 5 ans en arrière quand c'était Barack Obama qui étais bien plus cool en comparaison, les USA ne sont pas uniquement défini par leur président.

[alexetgus]

Oui, bon d'accord, je ne vais pas m'acharner.
Peace !