Les pirates Sony continuent de lancer des attaques dans le monde entier

En novembre 2014, lorsqu'un groupe de pirates informatiques surnommé les «Gardiens de la paix» a piraté Sony Entertainment, le monde entier a émis l'hypothèse que l'armée de la Corée du Nord était derrière le dos. Le gouvernement américain a même accusé la Corée du Nord d'assumer ses responsabilités.

Maintenant, un rapport de la firme de cybersécurité Novetta met en lumière le fonctionnement de l’équipe derrière l’attaque de Sony, y compris la raison pour laquelle elles semblent avoir soudainement disparu.

Le rapport explique que le groupe peut opérer sous différents pseudonymes, notamment "NewRomanic Cyber ​​Army Team" et "Who IsTeam". Mais, sur la base de similitudes entre des attaques qui pourraient uniquement résulter d'un partage d'informations, il est assez clair que La même équipe qui a piraté Sony est toujours en train de percer des serveurs à travers les États-Unis et l’Asie.

«Il est très difficile de penser que le développement provient en grande partie des mêmes auteurs et des mêmes bases de code», a déclaré Andre Ludwig, directeur technique principal de Novetta. Washington Post. "Ces logiciels malveillants ne sont pas partagés sur des forums clandestins. Ce sont des bases de code très bien gardées qui n'ont pas été divulguées ou diffusées publiquement."

Étant donné que les pirates assument une nouvelle identité pour chaque projet, les traqueurs de Novetta ont eu l’impression que le groupe se relevait sans cesse. Ils ont inventé un nouveau surnom pour l’équipe: le groupe Lazarus.

Nous avons révélé que #LazarusAPT était lié au hack #Sony w / @Novettasol @alienvault Article complet http://t.co/ucH4Wdo0W4 pic.twitter.com/1qw5NCCReZ

- Kaspersky Lab (@kaspersky) le 24 février 2016

Novetta, ainsi que AlienVault et Kaspersky Lab, ont associé le groupe Lazarus à une série d'autres attaques, notamment une attaque en 2013 contre des studios de télévision sud-coréens et une manœuvre de «spearphishing» utilisant de faux médias sud-coréens. L’attention accordée à la Corée du Sud va certainement dans le sens de l’affirmation du gouvernement américain selon laquelle le groupe est basé sur l’armée nord-coréenne. Le rapport Novetta est étrangement réticent à tirer une telle conclusion, allant jusqu’à convenir qu’il est probablement soutenu par un gouvernement.

"Nous pensons que l'affirmation du gouvernement américain selon laquelle l'attaque de Sony est l'œuvre d'un État-nation est bien plus probable que cela est l'œuvre d'un groupe hacktiviste ou d'un ancien employé vindicatif", a déclaré le directeur général de Novetta, Peter LaMontagne, à Poster.

Il peut être plus difficile pour les entreprises de sécurité de tirer des conclusions difficiles sur les acteurs étatiques, en particulier parce que les gouvernements ont tendance à disposer d'une mine d'informations supplémentaires, souvent classifiées, qui fournissent des preuves à l'appui.

Ce sont les cyber-armes utilisées pour pirater Sony. Http: //t.co/IjcR13aF6v pic.twitter.com/X0UNw3L0Rd

- Carte mère (@motherboard) 24 février 2016

Bien sûr, le groupe semble travailler une journée de travail coréenne typique et exploiter un bug dans un système de traitement de texte uniquement coréen, mais cela ne suffit pas pour dire définitivement que les soldats de Kim Jong-un sont en train de taper de l’autre côté. Le nouveau rapport associe Lazarus à des attaques contre la Chine, peut-être le dernier allié de la Corée du Nord, qui constitueraient certainement une étrange provocation pour l’État communiste assiégé.

Néanmoins, Novetta croit toujours que quelque chose doit être fait pour préparer les systèmes d’information à la lutte contre les attaques du groupe Lazarus. L’entreprise lance l’opération Blockbuster en partenariat avec d’autres groupes de cybersécurité afin de mieux faire connaître la tactique typique du groupe.