Selon ces gouvernements, des groupes connus entre autres sous les noms d’Andariel, Onyx Sleet et DarkSeoul attaquent les systèmes de défense, aérospatiaux, nucléaires et d’ingénierie pour obtenir des informations confidentielles.
Les pirates ont recherché des informations dans un large éventail de secteurs – du traitement de l’uranium au développement de chars, de sous-marins et de torpilles – et ont ciblé le Royaume-Uni, les États-Unis, la Corée du Sud, le Japon, l’Inde et d’autres pays, selon un rapport. par Gordon Corera, correspondant de sécurité de la BBC.
On soupçonne qu’ils ont déjà attaqué numériquement des bases aériennes américaines, la NASA et des entreprises américaines liées au secteur de la défense.
Cet avertissement semble être le signe que l’activité de ces groupes, qui combinent espionnage et profit, inquiète les autorités en raison de son impact à la fois sur les technologies sensibles et sur la vie quotidienne.
Les États-Unis affirment que les pirates informatiques financent leur activité d’espionnage via des opérations de ransomware (logiciel utilisé à des fins d’extorsion en kidnappant des données numériques grâce au cryptage).
Jusqu’à présent, cinq prestataires de soins de santé basés aux États-Unis, quatre sous-traitants de la défense basés aux États-Unis, deux bases de l’US Air Force et le bureau de l’inspecteur général de la National Aeronautics and Space Administration ont été ciblés par le groupe.
Le gouvernement américain a offert une récompense de 10 millions de dollars à toute personne fournissant des informations permettant d’identifier ceux qui lancent des cyberattaques contre le pays sur ordre d’un gouvernement étranger.
Le pays recherche surtout des membres du groupe Andariel et, plus précisément, une personne : Rim Jong-hyok.
Rim a été inculpé par le ministère américain de la Justice pour sa participation présumée à un stratagème visant à pirater les systèmes informatiques des hôpitaux américains et à exiger une rançon.
Selon Paul Chichester, directeur des opérations au National Cyber Security Centre (NCSC) du Royaume-Uni, « l’opération mondiale de cyberespionnage que nous avons démasquée démontre jusqu’où les acteurs parrainés par la Corée du Nord sont prêts à aller pour mener à bien leurs opérations militaires ». . et les programmes nucléaires”.
“Nous devons rappeler aux opérateurs d’infrastructures critiques l’importance de protéger les informations sensibles et la propriété intellectuelle qu’ils stockent sur leurs systèmes afin d’éviter le vol et l’utilisation abusive.”
Le NCSC estime qu’Andariel fait partie du 3e Bureau de renseignement général (RGB) de Corée du Nord. Selon les États-Unis, ce bureau est lié non seulement aux cyberactivités malveillantes de Pyongyang, mais également au commerce illicite d’armes.
Ces dernières années, Andariel est passée d’attaques contre des organisations aux États-Unis et en Corée du Sud à des attaques spécialisées de cyberespionnage et de ransomware.
Dans certains cas, ces groupes auraient lancé des attaques de détournement de données et des opérations d’espionnage le même jour et contre la même victime.
« Menace pour la vie quotidienne »
L’alerte conjointe émise par les États-Unis, le Royaume-Uni et la Corée du Sud comprend des conseils pour se défendre contre les agents nord-coréens, qui auraient également recherché des informations sur les machines robotiques, les armes mécaniques et les composants d’impression 3D.
“Ce rapport souligne que les groupes criminels nord-coréens constituent également une menace sérieuse pour la vie quotidienne des citoyens et ne peuvent être ignorés ou négligés”, a déclaré Michael Barnhart, analyste principal chez Mandiant chez Google Cloud.
“L’attaque contre les hôpitaux pour générer des revenus et financer leurs opérations démontre un intérêt infatigable pour remplir sa mission prioritaire de collecte d’informations de renseignement, sans tenir compte des conséquences possibles que cela peut avoir sur des vies humaines.”
Selon le Département d’État américain, Rim Jong Hyok et d’autres ont réussi à pirater les systèmes informatiques des hôpitaux américains et d’autres prestataires de soins de santé en installant un programme malveillant connu sous le nom de « Maui ». Après l’attaque, ils ont exigé une rançon en espèces pour libérer les systèmes.
Les attaques ont crypté les ordinateurs et les serveurs des victimes, qui étaient utilisés pour stocker des examens médicaux ou des dossiers cliniques, et ont perturbé les services de santé.
Avec l’argent reçu grâce au paiement des rançons, les cybercriminels ont financé d’autres cyberopérations malveillantes ciblant, entre autres, des entités gouvernementales américaines et des entreprises ayant des contrats de défense.
Dans l’une de leurs opérations, qui a débuté en novembre 2022, des pirates ont piraté une entreprise de défense dont ils ont réussi à extraire plus de 30 gigaoctets de données, y compris des informations techniques non confidentielles sur les matériaux utilisés dans les avions militaires et les satellites, dont une grande partie provenait de 2010. ou avant.
Ce n’est que le dernier d’une série d’avertissements concernant les pirates informatiques nord-coréens qui ont eu lieu ces dernières années.
Certains des cyberincidents les plus notoires sont liés au pays, comme l’attaque contre Sony Pictures en 2014 en représailles à la sortie d’une comédie hollywoodienne décrivant l’assassinat du dirigeant nord-coréen Kim Jong-un.
Cette action a été menée par le groupe Lazarus, un autre de ces gangs de hackers nord-coréens, qui a volé des millions de dollars au fil des années.
L’une des victimes était la Banco del Austro, en Équateur, en 2016, où elle a volé 12 millions de dollars.
La même année, le groupe a tenté de voler des milliards de dollars à la Banque du Bangladesh, mais presque tous les transferts d’une valeur de 81 millions de dollars ont été bloqués avant d’être finalisés.