Hackers Nord-Coréens : Une Menace Croissante pour les Infrastructures Critiques
Depuis plus d'une décennie, la Corée du Nord déploie ses cyberattaques au-delà de ses frontières, ciblant notamment des infrastructures critiques à travers le monde. Un récent rapport de la société de cybersécurité Mandiant jette une lumière inquiétante sur les activités du groupe de hackers nord-coréens APT45, actif depuis 2009. Leurs cibles : des secteurs stratégiques tels que le nucléaire et la santé dans pas moins de huit pays.
APT45, une menace persistante et sophistiquée
Selon Mandiant, APT45 mène des campagnes d'espionnage et de collecte de données depuis plus de 10 ans, soutenant ainsi les intérêts du régime nord-coréen. Ce groupe, également connu sous les noms d'"Andariel", "Onyx Sleet", "Stonefly" et "Silent Cholima", aurait des liens avec le service de renseignement d'élite du pays, le Reconnaissance General Bureau (RGB).
APT45 est un opérateur cyber nord-coréen existant depuis longtemps et relativement sophistiqué, qui a mené des campagnes d'espionnage depuis 2009.
– Rapport de Mandiant
Une évolution des cibles au fil des années
Les activités malveillantes d'APT45 ont évolué au gré des intérêts stratégiques du régime nord-coréen. Ainsi, en 2017, le groupe s'est concentré sur les agences gouvernementales et les infrastructures de défense, avant de se tourner deux ans plus tard vers les industries nucléaires et le secteur de l'énergie. Un virage qui coïncide avec l'intérêt croissant de Pyongyang pour ces domaines.
Le secteur de la santé dans le viseur
APT45 a également longtemps ciblé les établissements de santé et le secteur pharmaceutique, bien au-delà de la pandémie de Covid-19. Un comportement qui laisse craindre de nouvelles attaques à l'avenir, selon Mandiant. Cette particularité distingue APT45 d'autres groupes de cybercriminels affiliés au régime nord-coréen.
Une bibliothèque d'outils malveillants spécifique
Sur le plan technique, APT45 utilise des outils accessibles au public comme 3proxy, des malwares modifiés à partir de systèmes de collecte de données, ainsi que des malwares personnalisés. Un arsenal qui diffère de celui employé par les autres groupes de menace nord-coréens.
Déploiement de ransomwares pour le profit
Outre le cyberespionnage, APT45 se distingue par sa capacité à déployer des ransomwares à des fins lucratives. Plusieurs groupes de ransomware seraient ainsi affiliés à APT45, comme "ShatteredGlass" et "Maui", ce dernier ayant fait l'objet d'une mise en garde de la CISA en 2022 pour avoir visé des établissements de santé.
Face à cette menace persistante et protéiforme, il apparaît crucial pour les organisations, en particulier celles opérant dans des secteurs sensibles comme le nucléaire et la santé, de renforcer leur cybersécurité. Le rapport de Mandiant souligne l'importance d'une vigilance accrue et d'une coopération internationale pour faire face à ces acteurs étatiques malveillants qui ne connaissent pas de frontières dans le cyberespace.
