Un voleur par effraction qui laisse son adresse, c’est ballot, surtout pour un groupe considéré comme l’un des plus sophistiqués du paysage de la menace étatique. C’est pourtant ce que viennent de découvrir les traqueurs de WithSecure, qui ont réussi à établir un lien entre une campagne de cyberattaques visant la recherche médicale et les entreprises du secteur de l’énergie et le fameux groupe ATP Lazarus, lié à la Corée du Nord. Ceci après qu’un membre s’est rendu coupable d’une des pires bourdes possibles pour un hacker : laisser son adresse IP. L’incident était également parsemé des caractéristiques de campagnes récentes attribuées au groupe Lazarus par d’autres chercheurs, ce qui a orienté les recherches dans cette direction.
Lazarus Group est bien connu du paysage de la menace persistante avancée (APT), souvent associé à des cyberattaques parrainées par l’État nord-coréen. On pense généralement que Lazarus fait partie du Bureau du renseignement extérieur et de la reconnaissance de la Corée du Nord. Le groupe est actif depuis au moins 2009 et a été lié à un certain nombre d’attaques très médiatisées, notamment l’attaque de 2014 contre Sony Pictures, l’attaque de 2016 contre la Bangladesh Bank et l’attaque par le rançongiciel WannaCry en 2017 ou Colonial Pipeline en 2021. Ces attaques ont entraîné le vol de millions de dollars, d’informations sensibles et ont provoqué de graves perturbations aux victimes. Le groupe Lazarus est largement considéré comme l’un des groupes APT les plus dangereux en activité.
Une adresse IP appartenant à la Corée du Nord
Les chercheurs ont donc découvert la dernière campagne du groupe après qu’une attaque par rançongiciel a été détectée dans une organisation protégée par la plateforme de sécurité WithSecure Elements. Un élément en particulier a orienté les chercheurs vers la Corée du Nord : les attaquants ont brièvement utilisé l’une des adresses IP appartenant à la Corée du Nord, celle-ci en possède moins de mille. Cette adresse IP a été observée se connectant à un webshell contrôlé par les attaquants pendant une courte période, ce qui a conduit les chercheurs à soupçonner qu’il s’agissait d’une erreur commise par un membre du groupe.
En examinant les journaux du réseau sur le serveur « patient zéro » pour identifier les entités se connectant aux webshells, les chercheurs se sont aperçus que la connexion à partir de l'IP nord-coréenne était une instance unique au début de la journée en cours. « Nous soupçonnons que ce cas était une défaillance de sécurité opérationnelle par l’acteur de la menace au début de sa journée de travail, affirment les chercheurs dans leur rapport. Après un petit délai, la connexion est revenue par la voie prévue. Ceci est significatif, car les seules adresses IP nord-coréennes sont trois réseaux qui sont directement contrôlés et utilisés par le gouvernement nord-coréen. Il est donc très probable que cette activité ait été initiée par un acteur étatique nord-coréen ».
Living off the land
Le groupe a utilisé des webshells et des binaires personnalisés prêts à l’emploi, ainsi que des outils Windows et Unix légitimes (Living Off the Land). Après l’intrusion il a installé des outils permettant de créer des proxys, des tunnels et relayer des connexions. D’après les observations, ils devaient recourir à peu de serveurs de commande et de contrôle (C2) : un petit nombre de serveurs se connectant via de multiples relais/points d’extrémité. Certains serveurs C2 semblent être eux-mêmes des victimes compromises.
WithSecure Threat Intelligence évalue donc avec une forte confiance que l’acteur de la menace est le groupe Lazarus du 3ème Bureau de l’armée populaire nord-coréenne et que l’objectif de la campagne était la collecte de renseignements, en particulier l’espionnage technologique et commercial. En effet, le groupe d’attaquants a exfiltré environ 100 Go de données, mais n’a pris aucune mesure destructrice au moment de l’attaque.