Les autorités américaines dévoilent de nouveaux malwares nord-coréens

Le US Cyber ​​Command, le Department of Homeland Security et le Federal Bureau of Investigations ont dévoilé aujourd’hui une nouvelle opération de piratage nord-coréenne.

Les autorités ont publié des avis de sécurité détaillant six nouvelles familles de logiciels malveillants actuellement utilisées par les pirates nord-coréens.

Selon le compte Twitter de la Cyber ​​National Mission Force (CNMF), une unité de l’US Cyber ​​Command, le malware est distribué via une campagne de phishing nord-coréenne.

Malware attributed to #NorthKorea by @FBI_NCIJTF just released here: https://t.co/cBqSL7DJzI. This malware is currently used for phishing & remote access by #DPRK cyber actors to conduct illegal activity, steal funds & evade sanctions. #HappyValentines @CISAgov @DHS @US_CYBERCOM

— USCYBERCOM Malware Alert (@CNMF_VirusAlert) February 14, 2020

Le commandement cyber US pense que le malware est utilisé pour fournir aux pirates nord-coréens un accès à distance aux systèmes infectés afin de voler des fonds ensuite transférés en Corée du Nord, afin d’éviter les sanctions économiques.

Le gouvernement nord-coréen a une longue histoire d’utilisation de pirates informatiques pour voler des fonds auprès des banques et des bourses de cryptomonnaie. C’est un moyen d’échapper aux sanctions économiques et de lever des fonds pour ses programmes d’armes nucléaires et de missiles.

En septembre 2019, le département américain du Trésor a imposé des sanctions au régime de Pyongyang pour avoir utilisé cette tactique.

Le jeu des 6+1 familles

Parallèlement à l’alerte Twitter envoyée par l’US Cyber ​​Command, la Cybersecurity and Infrastructure Security Agency (CISA) du DHS a également publié aujourd’hui des rapports détaillés sur son site Web. Les rapports fournissent une analyse approfondie des six nouveaux échantillons de logiciels malveillants que les autorités américaines ont récemment suivis. Elles sont les suivantes :

• BISTROMATH – Décrit comme “un RAT ( Remote Access Trojan) complet”     
• SLICKSHOES – Décrit comme un dropper de malware (chargeur)     
• CROWDEDFLOUNDER – Décrit comme un «exécutable Windows 32 bits, conçu pour décompresser et exécuter en mémoire un binaire RAT (Remote Access Trojan)».     
• HOTCROISSANT – Décrit comme «un implant de reconnaissance complet» utilisé pour «effectuer des reconnaissances de système, télécharger / uploader des fichiers, exécuter des processus et des commandes et effectuer des captures d’écran».     
• ARTFULPIE – Décrit comme «un implant capable de télécharger d’autre fichier, de charger du code malveillant dans la mémoire vive ainsi que l’exécution d’une DLL à partir d’une URL codée en dur».     
• BUFFETLINE – Décrit comme “un implant de reconnaissance complet” qui peut “télécharger, uploader, supprimer et exécuter des fichiers; activer l’accès CLI Windows; créer et terminer des processus; et effectuer l’énumération des systèmes visés.”

Un septième rapport met à jour les informations sur HOPLIGHT, un cheval de Troie basé sur un proxy que le DHS et le FBI ont dévoilé en avril de l’année dernière.

CISA attribue des logiciels malveillants au groupe Lazarus

La CISA a attribué le malware à un groupe de piratage soutenu par le gouvernement nord-coréen, appelé HIDDEN COBRA.

Ce groupe, également connu sous le nom de Lazarus Group, est la division de piratage la plus importante et la plus active de Corée du Nord.

Auparavant, le ministère de la Justice avait inculpé un membre de ce groupe pour sa participation à plusieurs incidents de sécurité, notamment le piratage de Sony en 2014, l’attaque contre la banque du Bangladesh en 2016 et pour avoir orchestré l’épidémie de ransomware WannaCry en mai 2017.

Dans une capture d’écran partagée avec ZDNet, un membre de Kaspersky GReAT, l’unité d’élite de hackers de Kaspersky, a souligné que les échantillons de logiciels malveillants partageaient également du code avec d’autres souches de logiciels malveillants nord-coréens utilisées dans des opérations antérieures, confirmant ainsi l’attribution des autorités américaines.

 

La tactique Name and Shame se poursuit

Les révélations d’aujourd’hui ne représentent qu’une étape supplémentaire dans la nouvelle approche du gouvernement américain pour gérer les opérations de cybersécurité étrangères menées contre des cibles américaines.

Alors que les années précédentes, le gouvernement américain a évité de parler des attaques contre des entités gouvernementales et le secteur privé, il a récemment adopté une approche “name and shame”.

Auparavant, cela se traduisait par des alertes de sécurité sur les sites Web du DHS / CISA et des mises en accusation par le ministère de la Justice, mais cela s’est récemment étendu à l’utilisation des sanctions par le Département du Trésor et des communiqués de presse de la Maison-Blanche dénonçant les cyberattaques orchestrées à l’étranger.

En novembre 2018, l’approche « name and shame » a également ajouté une nouvelle tactique: le commandement cyber US a commencé à uploader des “échantillons de logiciels malveillants non classés” sur VirusTotal, et a annoncé ces uploads via un compte Twitter.

Les premiers échantillons étaient liés à des groupes de piratage russes et iraniens.

Par la suite, l’US Cyber ​​Command a également commencé à uploader des échantillons de logiciels malveillants liés aux activités de piratage nord-coréennes – en août, septembre et novembre 2019.

Cependant, les autorités américaines n’avaient jamais attribué d’échantillons de logiciels malveillants à un acteur lié à un état, laissant l’attribution à des experts d’entreprises de cybersécurité privées.

Comme Cyberscoop l’a souligné, c’est la première fois que l’US Cyber ​​Command lie publiquement l’un de ces échantillons de logiciels malveillants à un état lui-même, plutôt que de compter sur le secteur privé.

Le secteur privé invité à agir

Mais le but des avis de sécurité d’aujourd’hui était de faire connaître les campagnes de piratage nord-coréennes en cours.

Les sept avis de sécurité CISA incluent des indicateurs de compromission (IOC) et des règles YARA pour aider les entreprises et les organisations gouvernementales à rechercher sur les réseaux internes tout signe de malware nord-coréen.

Selon Cyberscoop, les responsables américains ont également envoyé des alertes de sécurité au secteur privé américain avant la divulgation publique d’aujourd’hui, exhortant les entreprises à se pencher sur la menace actuelle.

L’ampleur des attaques nord-coréennes actuelles contre des cibles américaines est inconnue, mais à en juger par les trois exposés similaires de l’année dernière, on pense que les attaques nord-coréennes arrivent de manière constante.

Depuis 2018, le DHS a publié 23 rapports sur les logiciels malveillants nord-coréens. L’agence avait précédemment publié des rapports sur WannaCry, DeltaCharlie (deux rapports), Volgmer, FALLCHILL, BANKSHOT, BADCALL, HARDRAIN, SHARPKNOT, un cheval de Troie / ver d’accès à distance sans nom, Joanap et Brambul, TYPEFRAME, KEYMARBLE, FASTCash (deux rapports) et l’ancien rapport HOPLIGHT.

En janvier 2019, le DOJ, le FBI et l’US Air Force sont également intervenus pour abattre le botnet Joanap, qui aurait été construit par des pirates nord-coréens pour les aider dans leurs opérations et pour servir de réseau de proxies pour dissimuler l’origine des attaques.

Source : ZDNet.com