Un collectif de hackers nord-coréens exploite des protocoles de sécurité de messagerie mal configurés pour déployer des attaques de phishing contre des institutions universitaires, des groupes de réflexion, des journalistes et des organisations à but non lucratif, ont prévenu jeudi des agences américaines.
Le groupe, connu sous le nom de Kimsuky, utilise des tactiques de phishing améliorées étayées par des failles de configuration, leur permettant d’accéder subrepticement aux domaines de messagerie des organisations et de se faire passer pour des utilisateurs légitimes, selon l’avis dirigé par le Département d’État, le FBI et NSA.
Kimsuky est une unité de cybercriminalité qui serait hébergée au sein de la direction du renseignement militaire de la RPDC, connue sous le nom de Bureau général de reconnaissance, ou RGB. Il a repris d’autres noms de chercheurs en cybersécurité du secteur privé, notamment Emerald Sleet, APT43 et Velvet Chollima.
Les messages de phishing sont envoyés sous forme d’e-mails malveillants. Une fois la communication établie entre un utilisateur légitime et le pirate informatique déguisé, ce dernier envoie des réponses de suivi contenant des liens malveillants et des pièces jointes susceptibles de siphonner les données sensibles des destinataires.
Dans un cas, un membre du Kimsuky s’est fait passer pour un journaliste cherchant à commenter les questions géopolitiques liées à la Corée du Nord. En raison d’une configuration incorrecte, le faux journaliste a pu modifier l’adresse e-mail « Répondre à » afin que les réponses du compte ciblé soient envoyées à un compte contrôlé par la Corée du Nord.
L’exploit est enraciné dans le Domain-based Message Authentication, Reporting and Conformance, ou DMARC, un protocole qui donne aux administrateurs système la possibilité de contrôler l’utilisation non autorisée des domaines de messagerie pour empêcher les tentatives d’usurpation d’identité et de phishing.
Certains signes peuvent aider les organisations ciblées à repérer les faux e-mails, notamment les fautes de frappe, la structure de phrase maladroite en anglais et les textes d’e-mails répétés trouvés lors d’engagements antérieurs avec d’autres victimes, indique l’avis. Mais il exhorte également les institutions à modifier leurs politiques DMARC, comme le recodage des configurations pour limiter les messages qui ne correspondent pas aux domaines de compte ou les étiqueter comme spam.
La Corée du Nord a déployé des agents fantômes à travers le monde qui se font passer pour des informaticiens légitimes, s’implantant dans des entreprises pour mener à bien des projets à long terme visant à financer le programme d’armes nucléaires de Pyongyang. Ils ont pu financer ces programmes grâce à des transactions secrètes en cryptomonnaies, et ces stratagèmes ont financé environ 50 % des projets de missiles de la RPDC, selon des évaluations publiques américaines.
L’entité Kimsuky, en particulier, s’efforce de fournir « des données volées et des informations géopolitiques précieuses au régime nord-coréen en compromettant les analystes politiques et autres experts », indique le communiqué.
Le collectif de collecte de renseignements est actif depuis au moins 2012, ont précédemment déclaré des cyber-responsables.
Le département du Trésor a sanctionné en novembre huit agents nord-coréens qui ont permis de générer des revenus pour les activités de missiles nucléaires du pays, ainsi que Kimsuky, au motif que le groupe menait des activités de collecte de renseignements pour soutenir les intérêts nationaux de Pyongyang.
Les cyber-forces du pays ont mûri et « poursuivront leur cyber-campagne en cours, en particulier les braquages de cryptomonnaies ; rechercher une grande variété d’approches pour blanchir et encaisser les cryptomonnaies volées ; et maintenir un programme d’informaticiens travaillant à l’étranger pour gagner des fonds supplémentaires », indique une évaluation des renseignements américains de février.
