Groupe Lazare

Lazarus Group (également connu sous d’autres surnoms tels que Guardians of Peace ou Whois Team ^{[1] [2] [3]} ) est un groupe de cybercriminalité composé d’un nombre inconnu d’individus dirigé par l’État nord-coréen. Bien que l’on ne sache pas grand-chose sur le groupe Lazarus, les chercheurs leur ont attribué de nombreuses cyberattaques entre 2010 et 2021. À l’origine un groupe criminel, le groupe a maintenant été désigné comme une menace persistante avancée en raison de la nature intentionnelle, de la menace et du large éventail de méthodes. utilisé lors de la conduite d’une opération. Les noms donnés par les organisations de cybersécurité incluent HIDDEN COBRA (utilisé par la United States Intelligence Communitypour faire référence à une cyberactivité malveillante du gouvernement nord-coréen en général) ^{[4] [5]} et Zinc (par Microsoft ). ^{[6] [7] [8]}

Groupe Lazare

나사로 그룹
Formation	c. 2009 [1]
Taper	Menace persistante avancée
But	Cyberespionnage , cyberguerre
Région	District de Potonggang , Pyongyang , Corée du Nord
Méthodes	Zero-days , spearphishing , malware , désinformation , backdoors , droppers
Langue officielle	coréen
Organisation mère	Bureau général de reconnaissance Centre informatique coréen
Affiliations	Unité 121 , Unité 180 , AndAriel
Anciennement appelé	APT38 Dieux Apôtres Dieux Disciples Gardiens de la Paix ZINC Whois Team Hidden Cobra

Le groupe Lazarus a des liens étroits avec la Corée du Nord . ^{[9] [10]} Le Federal Bureau of Investigation des États-Unis dit que le Lazarus Group est une “organisation de piratage parrainée par l’État” nord-coréenne. ^[11] Selon le transfuge nord-coréen Kim Kuk-song, l’unité est connue en interne en Corée du Nord sous le nom de 414 Liaison Office. ^[12]

Histoire

La première attaque connue dont le groupe est responsable est connue sous le nom d'”Opération Troy”, qui s’est déroulée de 2009 à 2012. Il s’agissait d’une campagne de Cyberespionnage qui utilisait des techniques d’ Attaque par déni de service distribué (DDoS) peu sophistiquées pour cibler le Gouvernement sud-coréen à Séoul. Ils étaient également responsables d’attentats en 2011 et 2013. Il est possible qu’ils aient également été à l’origine d’une attaque de 2007 visant la Corée du Sud, mais cela reste incertain. ^[13] Une attaque notable pour laquelle le groupe est connu est l’ attaque de 2014 contre Sony Pictures . L’attaque de Sony a utilisé des techniques plus sophistiquées et a mis en évidence l’évolution du groupe au fil du temps.

Le FBI voulait un avis pour l’un des pirates du groupe Lazarus, Park Jin Hyok

Le groupe Lazarus aurait volé 12 millions de dollars américains à la Banco del Austro en Équateur et 1 million de dollars américains à la banque vietnamienne Tien Phong en 2015. ^[14] Ils ont également ciblé des banques en Pologne et au Mexique. ^[15] Le braquage de banque de 2016 ^[16] comprenait une attaque contre la Banque du Bangladesh , volé avec succès 81 millions de dollars américains et a été attribué au groupe. En 2017, le groupe Lazarus aurait volé 60 millions de dollars américains à la Far Eastern International Bank of Taiwan, bien que le montant réel volé ne soit pas clair et que la plupart des fonds aient été récupérés. ^[15]

On ne sait pas qui est vraiment derrière le groupe, mais les médias ont suggéré que le groupe a des liens avec la Corée du Nord . ^{[17] [18] [15]} Kaspersky Lab a rapporté en 2017 que Lazarus avait tendance à se concentrer sur les cyberattaques d’espionnage et d’infiltration alors qu’un sous-groupe au sein de leur organisation, que Kaspersky appelait Bluenoroff, se spécialisait dans les cyberattaques financières. Kaspersky a trouvé plusieurs attaques dans le monde et un lien direct ( adresse IP ) entre Bluenoroff et la Corée du Nord. ^[19]

Cependant, Kaspersky a également reconnu que la répétition du code pourrait être un “faux drapeau” destiné à induire en erreur les enquêteurs et à épingler l’attaque contre la Corée du Nord, étant donné que la cyberattaque mondiale du ver WannaCry a également copié des techniques de la NSA. Ce rançongiciel exploite un exploit de la NSA connu sous le nom d’ EternalBlue qu’un groupe de pirates connu sous le nom de Shadow Brokers a rendu public en avril 2017. ^[20] Symantec a rapporté en 2017 qu’il était « très probable » que Lazarus soit à l’origine de l’attaque WannaCry. ^[21]

2009 Opération Troie

L’incident suivant a eu lieu le 4 juillet 2009 et a déclenché le début de «l’opération Troy». Cette attaque a utilisé les logiciels malveillants Mydoom et Dozer pour lancer une attaque DDoS à grande échelle, mais assez peu sophistiquée, contre des sites Web américains et sud-coréens. La volée d’attaques a frappé environ trois douzaines de sites Web et placé le texte “Memory of Independence Day” dans le master boot record (MBR).

2013 Cyberattaque en Corée du Sud (Operation 1Mission/ DarkSeoul)

Au fil du temps, les attaques de ce groupe sont devenues plus sophistiquées ; leurs techniques et leurs outils sont devenus plus développés et plus efficaces. L’attaque de mars 2011 connue sous le nom de “Ten Days of Rain” ciblait les infrastructures médiatiques, financières et critiques sud-coréennes et consistait en des attaques DDoS plus sophistiquées provenant d’ordinateurs compromis en Corée du Sud. Les attaques se sont poursuivies le 20 mars 2013 avec DarkSeoul, une attaque d’effacement qui visait trois sociétés de diffusion sud-coréennes, des instituts financiers et un FAI. À l’époque, deux autres groupes sous les noms de “NewRomanic Cyber ​​​​Army Team et WhoIs Team”, se sont attribués le mérite de cette attaque, mais les chercheurs ne savaient pas que le groupe Lazarus était derrière à l’époque. Les chercheurs connaissent aujourd’hui le groupe Lazarus comme un supergroupe derrière les attaques perturbatrices. ^[22]

Fin 2014 : brèche chez Sony

Les attaques du groupe Lazarus ont culminé le 24 novembre 2014. Ce jour-là, un message Reddit est apparu indiquant que Sony Pictures avait été piraté par des moyens inconnus ; les auteurs se sont identifiés comme les “gardiens de la paix”. De grandes quantités de données ont été volées et lentement divulguées dans les jours qui ont suivi l’attaque. Une interview avec une personne prétendant faire partie du groupe a déclaré qu’elle siphonnait les données de Sony depuis plus d’un an. ^[23]

Les pirates ont pu accéder à des films inédits, à des e-mails et aux informations personnelles d’environ 4 000 employés. ^[24]

Enquête début 2016 : Opération Blockbuster

Sous le nom d’′′Operation Blockbuster′′, une coalition d’entreprises de sécurité, dirigée par Novetta , ^{[25] [26]} a pu analyser des échantillons de logiciels malveillants trouvés dans différents incidents de cybersécurité. Grâce à ces données, l’équipe a pu analyser les méthodes utilisées par les pirates. Ils ont lié le groupe Lazarus à un certain nombre d’attaques via un schéma de réutilisation du code. ^[27]

2016 Cyber ​​braquage de la banque du Bangladesh

Le cyber-casse de Bangladesh Bank, était un vol qui a eu lieu en février 2016. Trente-cinq instructions frauduleuses ont été émises par des pirates de sécurité via le réseau SWIFT pour transférer illégalement près d’un milliard de dollars américains du compte de la Federal Reserve Bank de New York appartenant à Bangladesh Bank. , la banque centrale du Bangladesh. Cinq des trente-cinq instructions frauduleuses ont réussi à transférer 101 millions de dollars américains, dont 20 millions de dollars américains retracés au Sri Lanka et 81 millions de dollars américains aux Philippines. La Federal Reserve Bank de New York a bloqué les trente transactions restantes, d’un montant de 850 millions de dollars américains, en raison de soupçons soulevés par une instruction mal orthographiée. ^[28] Des experts en cybersécurité ont affirmé que le groupe Lazarus, basé en Corée du Nord, était à l’origine de l’attaque. ^{[29] [30]}

Attaque du rançongiciel WannaCry de mai 2017

L’ attaque WannaCry était une cyberattaque massive de ransomware qui a frappé des institutions du monde entier allant du NHS en Grande-Bretagne à Boeing et même aux universités en Chine le 12 mai 2017. L’attaque a duré 7 heures et 19 minutes. Europol estime qu’il a touché près de 200 000 ordinateurs dans 150 pays, affectant principalement la Russie, l’Inde, l’Ukraine et Taïwan. Ce fut l’une des premières attaques à passer par un cryptoworm . Les cryptoworms sont une forme récente de virus informatique qui peut se déplacer entre les ordinateurs en utilisant des réseaux, en exploitant le port TCP 445 ^[31]). Pour être infecté, il n’est pas nécessaire de cliquer sur un mauvais lien – le malware peut se propager de manière autonome, d’un ordinateur à une imprimante connectée, puis au-delà vers des ordinateurs adjacents, peut-être connectés au wifi, etc. La vulnérabilité du port 445 a permis au les logiciels malveillants se déplacent librement sur les intranets et infectent rapidement des milliers d’ordinateurs. L’attaque Wannacry a été l’une des premières utilisations à grande échelle d’un cryptoworm. ^{[32] [33]}

Attaque

Le virus a exploité une vulnérabilité du système d’exploitation Windows, puis a chiffré les données de l’ordinateur en échange d’une somme de Bitcoin d’une valeur d’environ 300 $ pour obtenir la clé. Afin d’encourager le paiement, la demande de rançon a doublé après trois jours, et s’il n’est pas payé en une semaine, le logiciel malveillant supprime les fichiers de données cryptés. Le logiciel malveillant utilisait un logiciel légitime appelé Windows Crypto, créé par Microsoft pour brouiller les fichiers. Une fois le cryptage terminé, le nom du fichier a “Wincry” ajouté, qui est la racine du nom Wannacry. Wincry était la base du cryptage, mais deux exploits supplémentaires, EternalBlue et DoublePulsar , ont été utilisés par le malware pour en faire un cryptoworm. EternalBlue propage automatiquement le virus à travers les réseaux, tandis queDoublePulsar l’a déclenché pour s’activer sur l’ordinateur d’une victime. En d’autres termes, EternalBlue a obtenu le lien infecté vers votre ordinateur et DoublePulsar a cliqué dessus pour vous. ^[33]

Marcus Hutchins a mis fin à l’attaque lorsqu’il a reçu une copie du virus d’un ami d’une société de recherche en sécurité et a découvert un kill switchcodé en dur dans le virus. Le logiciel malveillant incluait une vérification périodique pour voir si un site Web spécifique était en cours d’exécution et ne procédait au cryptage que si ce site Web n’existait pas. Hutchins a identifié cette vérification, puis a rapidement enregistré le domaine concerné à 15h03 UTC. Le malware a immédiatement cessé de se propager et d’infecter de nouvelles machines. C’était très intéressant et c’est un indice sur qui a créé le virus. Habituellement, l’arrêt des logiciels malveillants prend des mois de va-et-vient entre les pirates et les experts en sécurité, donc cette victoire facile était inattendue. Un autre aspect très intéressant et inhabituel de l’attaque était que les fichiers n’étaient pas récupérables après avoir payé la rançon : seulement 160 000 $ ont été collectés, laissant croire à beaucoup que les pirates n’étaient pas après l’argent. ^[33]

Le coupe-circuit facile et le manque de revenus ont conduit beaucoup à croire que l’attaque était parrainée par l’État ; le motif n’était pas une compensation financière, mais simplement de semer le chaos. Après l’attaque, les experts en sécurité ont retracé l’ exploit DoublePulsar jusqu’à la NSA des États-Unis où l’exploit avait été développé comme une cyberarme. L’exploit a ensuite été volé par un groupe de piratage soutenu par la Russie, Shadowbrokers , qui a d’abord tenté de le vendre aux enchères, mais après avoir échoué, il l’a simplement donné gratuitement. ^[33]La NSA a ensuite révélé la vulnérabilité à Microsoft qui a publié une mise à jour le 14 mars 2017, un peu moins d’un mois avant l’attaque. Ce n’était pas assez. La mise à jour n’était pas obligatoire et la majorité des ordinateurs présentant la vulnérabilité n’avaient pas résolu le problème au moment du 12 mai, ce qui a conduit à l’étonnante efficacité de l’attaque.

Conséquences

Le ministère américain de la Justice et les autorités britanniques ont par la suite attribué l’attaque WannaCry au gang de piratage nord-coréen, le groupe Lazarus. ^[34] La Corée du Nord est très bien placée pour mener des cyberopérations en raison de la menace asymétrique , où elle peut affronter un monde de plus en plus numérisé, en particulier la Corée du Sud, avec un petit groupe de Cyber ​​Warriors. ^[35]

Attaques de crypto-monnaie de 2017

En 2018, Recorded Future a publié un rapport liant le groupe Lazarus à des attaques contre les utilisateurs de crypto-monnaie Bitcoin et Monero , principalement en Corée du Sud. ^[36] Ces attaques auraient été techniquement similaires aux attaques précédentes utilisant le rançongiciel WannaCry et les attaques contre Sony Pictures. ^[37] L’une des tactiques utilisées par les hackers de Lazarus consistait à exploiter les vulnérabilités du Hangul de Hancom , un logiciel de traitement de texte sud-coréen. ^[37] Une autre tactique consistait à utiliser des leurres de harponnage contenant des logiciels malveillants et qui étaient envoyés aux étudiants sud-coréens et aux utilisateurs d’échanges de crypto-monnaie comme Coinlink. Si l’utilisateur ouvrait le logiciel malveillant, il volait les adresses e-mail et les mots de passe. ^[38] Coinlink a nié que leur site ou que les e-mails et les mots de passe des utilisateurs aient été piratés. ^[38] Le rapport a conclu que “Cette campagne de fin 2017 est une continuation de l’intérêt de la Corée du Nord pour la crypto-monnaie, qui, nous le savons maintenant, englobe un large éventail d’activités, y compris l’exploitation minière, les rançongiciels et le vol pur et simple…” ^[36] Le rapport a également déclaré que la Corée du Nord utilisait ces attaques de crypto-monnaie pour contourner les sanctions financières internationales. ^[39] Des pirates informatiques nord-coréens ont volé 7 millions de dollars américains à Bithumb , une bourse sud-coréenne en février 2017. ^[40]Youbit, une autre société sud-coréenne d’échange de bitcoins, a déposé son bilan en décembre 2017 après que 17 % de ses actifs aient été volés par des cyberattaques à la suite d’une attaque précédente en avril 2017. ^[41] Lazarus et des pirates informatiques nord-coréens ont été blâmés pour les attaques. ^{[42] [36]} Nicehash , un marché d’extraction de crypto-monnaie dans le cloud, a perdu plus de 4 500 Bitcoins en décembre 2017. Une mise à jour sur les enquêtes a affirmé que l’attaque était liée au groupe Lazarus. ^[43]

Attaques de septembre 2019

À la mi-septembre 2019, les États-Unis ont lancé une alerte publique concernant une nouvelle version d’un logiciel malveillant baptisé ELECTRICFISH . ^[44] Depuis le début de 2019, des agents nord-coréens ont tenté cinq cyber-vols majeurs dans le monde, dont un vol réussi de 49 millions de dollars dans une institution au Koweït. ^[44]

Attaques d’entreprises pharmaceutiques fin 2020

En raison de la pandémie de COVID-19 en cours , les sociétés pharmaceutiques sont devenues des cibles majeures pour le groupe Lazarus. Utilisant des techniques de harponnage, les membres du groupe Lazarus se sont fait passer pour des responsables de la santé et ont contacté des employés de sociétés pharmaceutiques avec des liens malveillants. On pense que plusieurs grandes organisations pharmaceutiques ont été ciblées, mais la seule qui a été confirmée est la société anglo-suédoise AstraZeneca . Selon un rapport de Reuters, ^[45] un large éventail d’employés ont été ciblés, dont beaucoup sont impliqués dans la recherche sur le vaccin COVID-19. On ne sait pas quel était l’objectif du groupe Lazarus dans ces attaques, mais les possibilités probables incluent :

• Voler des informations sensibles à vendre à des fins lucratives.
• Programmes d’extorsion.
• Donner aux régimes étrangers l’accès à la recherche exclusive sur le COVID-19.

AstraZeneca n’a pas commenté l’incident et les experts ne pensent pas qu’aucune donnée sensible n’ait été compromise pour le moment. ^{[ quand ? ]}

Jeu en ligne de mars 2022 Axie Infinity attack

Le FBI a déclaré: “Grâce à nos enquêtes, nous avons pu confirmer que le groupe Lazarus et APT38, des cyberacteurs associés à [la Corée du Nord], sont responsables du vol”. ^[46]

Sanctions américaines

Le 14 avril 2022, l’ OFAC du Trésor américain a placé Lazarus sur la liste SDN en vertu de l’article 510.214 du Règlement sur les sanctions en Corée du Nord. ^[47]

Éducation

Des hackers nord-coréens sont envoyés professionnellement à Shenyang, en Chine, pour une formation spéciale. Ils sont formés pour déployer des logiciels malveillants de tous types sur les ordinateurs, les réseaux informatiques et les serveurs. L’éducation nationale comprend l’ Université de technologie Kim Chaek, l’ Université Kim Il-sung et l’Université Moranbong, qui sélectionne les étudiants les plus brillants de tout le pays et les fait suivre six ans d’éducation spéciale. ^{[12] [48]}

Unités

On pense que Lazare a deux unités. ^{[49] [50]}

BleuNorOff

BlueNorOff (également connu sous le nom de : APT38, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE ^[51] ) est un groupe à motivation financière qui est responsable des transferts d’argent illégaux via des ordres falsifiés de SWIFT . BlueNorOff est aussi appelé APT38 (par Mandiant ) et Stardust Chollima (par Crowdstrike ). ^{[52] [53]}

Selon un rapport de 2020 de l’armée américaine, Bluenoroff compte environ 1 700 membres qui se livrent à la cybercriminalité financière en se concentrant sur l’évaluation à long terme et en exploitant les vulnérabilités et les systèmes des réseaux ennemis à des fins financières pour le régime ou pour prendre le contrôle du système. ^[54] Ils ciblent les institutions financières et les échanges de crypto-monnaie, dont plus de 16 organisations dans au moins 13 pays ^[a] entre 2014 et 2021 Bangladesh, Inde, Mexique, Pakistan, Philippines, Corée du Sud, Taïwan, Turquie, Chili et Vietnam. On pense que les revenus iront au développement de la technologie des missiles et du nucléaire. ^{[51] [50]}

L’attaque la plus tristement célèbre de BlueNorOff a été le vol de la Banque du Bangladesh en 2016 au cours duquel ils ont tenté d’utiliser le réseau SWIFT pour transférer illégalement près d’un milliard de dollars américains depuis le compte de la Federal Reserve Bank de New York appartenant à la Bangladesh Bank , la banque centrale du Bangladesh. Après que plusieurs des transactions eurent lieu (20 millions de dollars américains retracés au Sri Lanka et 81 millions de dollars américains aux Philippines ), la Federal Reserve Bank de New York a bloqué les transactions restantes, en raison de soupçons soulevés par une faute d’orthographe. ^[50]

Les logiciels malveillants associés à BlueNorOff incluent : ” DarkComet , Mimikatz, Net, NESTEGG, MACKTRUCK, WANNACRY , WHITEOUT, QUICKCAFE, RAWHIDE, SMOOTHRIDE, TightVNC, SORRYBRUTE, KEYLIME, SNAPSHOT, MAPMAKER, net.exe, sysmon, BOOTWRECK, CLEANTOAD, CLOSESHAVE, DYEPACK , Hermès, TwoPence, ELECTRICFISH, PowerRatankba, PowerSpritz” ^[51]

Les tactiques couramment utilisées par BlueNorOff incluent : l’Hameçonnage, les portes dérobées, ^[50] la compromission au volant, l’ attaque par point d’eau , l’exploitation de versions obsolètes non sécurisées d’ Apache Struts 2 pour exécuter du code sur un système, la compromission Web stratégique et l’accès à Linux. les serveurs. ^[51] Il est rapporté qu’ils travaillent parfois avec des pirates informatiques criminels. ^[55]

EtAriel

AndAriel (également orthographié Andarial, ^[54] et également connu sous le nom de : Silent Chollima, Dark Seoul, Rifle, and Wassonite ^[51] ) se caractérise logistiquement par son ciblage de la Corée du Sud . Le nom alternatif d’AndAriel s’appelle Silent Chollima en raison de la nature furtive du sous-groupe. ^[56] Toute organisation en Corée du Sud est vulnérable à AndAriel. Les cibles incluent le gouvernement, la défense et tout symbole économique. ^{[57] [58]}

Selon un rapport de 2020 de l’armée américaine, Andarial compte environ 1 600 membres dont la mission de reconnaissance, l’évaluation des vulnérabilités du réseau et la cartographie du réseau ennemi pour une attaque potentielle. ^[54] En plus de la Corée du Sud, ils ciblent également d’autres gouvernements, infrastructures et entreprises. Les vecteurs d’attaque incluent : ActiveX, les vulnérabilités des logiciels sud-coréens, les attaques par point d’eau , le spear phishing (macro), les produits de gestion informatique (antivirus, PMS) et la chaîne d’approvisionnement (installateurs et mises à jour). Les logiciels malveillants utilisés incluent : Aryan, Gh0st RAT , Rifdoor, Phandoor et Andarat. ^[51]

Actes d’accusation

En février 2021, le département américain de la Justice a inculpé trois membres du Reconnaissance General Bureau , une agence de renseignement militaire nord-coréenne, pour avoir participé à plusieurs campagnes de piratage de Lazarus : Jin Hyok, Jon Chang Hyok et Kim Il. Park Jin Hyok avait déjà été inculpé plus tôt en septembre 2018. Les individus ne sont pas détenus aux États-Unis. Un Canadien et deux Chinois ont également été accusés d’avoir agi comme mules et blanchisseurs d’argent pour le groupe Lazarus. ^[59]

Couverture

Le groupe a fait l’objet d’un podcast du BBC World Service The Lazarus Heist diffusé en 2021. La deuxième saison sortira à la mi-2022 ^{. [60]}

Voir également

• Relations Corée du Nord-États-Unis
• Ricochet Chollima
• Kimsuky
• Park Jin Hyok
• Unité 121

Remarques

1. ^ “selon des articles de presse, avait mené avec succès de telles opérations contre des banques au Bangladesh, en Inde, au Mexique, au Pakistan, aux Philippines, en Corée du Sud, à Taïwan, en Turquie, au Chili et au Vietnam” ^[50]

Références

1. ^ “Désignations de la Corée du Nord; Désignation mondiale de Magnitsky” . Département américain du Trésor . 2019. LAZARUS GROUP (alias “APPLEWORM” ; alias “APT-C-26” ; alias “GROUP 77” ; alias “GUARDIANS OF PEACE” ; alias “HIDDEN COBRA” ; alias “OFFICE 91” ; alias “RED DOT” ; alias “TEMP.HERMIT” ; alias “LA NOUVELLE ÉQUIPE DE CYBERARMÉE ROMANTIQUE” ; alias “WHOIS HACKING TEAM” ; alias “ZINC”), District de Potonggang…
2. ^ “Groupe Lazarus | Documentation InsightIDR” . Rapid7 . Rapide7. Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, Bureau 121, COVELLITE, Dark Seoul, GOP, Groupe 77, Gardien de la paix, Gardiens de la paix, Groupe Hastati, HIDDEN COBRA, Labyrinth Chollima, Lazarus, Équipe NewRomantic Cyber ​​​​Army , NICKEL ACADEMY, Opération AppleJesus, Opération DarkSeoul, Opération GhostSecret, Opération Troy, Silent Chollima, Sous-groupe : Andariel, Sous-groupe : Bluenoroff, Unité 121, Équipe de piratage Whois, Équipe WHOis, ZINC
3. ^ “L’ACADÉMIE DE NICKEL | Secureworks” . secureworks.com . Black Artemis (PWC), COVELLITE (Dragos), CTG-2460 (SCWX CTU), Dark Seoul, Guardians of Peace, HIDDEN COBRA (gouvernement américain), High Anonymous, Labyrinth Chollima (CrowdStrike), New Romanic Cyber ​​​​Army Team, Groupe NNPT , Le groupe Lazarus, Qui suis-je ?, Équipe Whois, ZINC (Microsoft)
4. ^ “COBRA CACHÉ – Infrastructure de botnet DDoS de la Corée du Nord | CISA” . us-cert.cisa.gov . CISA. 2017.
5. ^ “Groupe Lazare, COBRA CACHÉ, Gardiens de la Paix, ZINC, NICKEL ACADEMY, Groupe G0032 | MITRE ATT&CK®” . MITRE AT&CK . Société MITRE.
6. ^ “Microsoft et Facebook perturbent l’attaque du malware ZINC pour protéger les clients et Internet des cybermenaces en cours” . Microsoft sur les problèmes . 2017-12-19 . Récupéré le 16/08/2019 .
7. ^ “Le FBI contrecarre les logiciels malveillants de surveillance nord-coréens liés à Lazarus” . PRO DE L’INFORMATIQUE . Récupéré le 16/08/2019 .
8. ^ Guerrero-Saadé, Juan Andres; Moriuchi, Priscilla (16 janvier 2018). “La Corée du Nord a ciblé les utilisateurs et les échanges de crypto-monnaie sud-coréens lors de la campagne fin 2017” . Avenir enregistré . Archivé de l’original le 16 janvier 2018.
9. ^ “Qui est Lazarus? Le plus récent collectif de cybercriminalité de la Corée du Nord” . www.cyberpolicy.com . Récupéré le 26/08/2020 .
10. ^ Beedham, Matthieu (2020-01-09). “Le groupe de hackers nord-coréen Lazarus utilise Telegram pour voler de la crypto-monnaie” . Fourche dure | Le prochain Web . Récupéré le 26/08/2020 .
11. ^ ” PARC JIN HYOK ” . Bureau fédéral d’enquête . Récupéré le 26/08/2020 .
12. ^ ^{un b} “Les drogues, les armes et la terreur : Un transfuge de haut profil sur la Corée du Nord de Kim” . Nouvelles de la BBC . 2021-10-10 . Récupéré le 11/10/2021 .
13. ^ “Les chercheurs en sécurité disent que le mystérieux ‘Lazarus Group’ a piraté Sony en 2014” . Le point quotidien . 24 février 2016 . Récupéré le 29/02/2016 .
14. ^ “Les logiciels malveillants des attaquants SWIFT liés à davantage d’attaques financières” . Symantec . 2016-05-26 . Récupéré le 19/10/2017 .
15. ^ ^{un bc} Ashok, Inde (2017-10-17) ^. “Lazarus: des pirates nord-coréens soupçonnés d’avoir volé des millions dans le cybercasse d’une banque taïwanaise” . International Business Times Royaume-Uni . Récupéré le 19/10/2017 .
16. ^ “Deux octets pour 951 millions de dollars” . baesystemsai.blogspot.co.uk . Récupéré le 15/05/2017 .
17. ^ “Cyberattaques liées à la Corée du Nord, affirment les experts en sécurité” . Le Télégraphe . 2017-05-16 . Récupéré le 16/05/2017 .
18. ^ Solon, Olivia (2017-05-15). “Le rançongiciel WannaCry a des liens avec la Corée du Nord, disent les experts en cybersécurité” . Le Gardien . ISSN 0261-3077 . Récupéré le 16/05/2017 .
19. ^ GReAT – Équipe mondiale de recherche et d’analyse de Kaspersky Lab (2017-03-03). “Lazare sous le capot” . Liste sécurisée . Récupéré le 16/05/2017 .
20. ^ Le WannaCry Ransomware a un lien vers des pirates nord-coréens présumés (2017-03-03). « Le filaire » . Liste sécurisée . Récupéré le 16/05/2017 .
21. ^ “Plus de preuves du ‘lien’ de WannaCry avec les pirates nord-coréens” . Nouvelles de la BBC . 2017-05-23 . Récupéré le 23/05/2017 .
22. ^ “Les pirates informatiques de Sony causaient le chaos des années avant de frapper l’entreprise” . FILAIRE . Récupéré le 01/03/2016 .
23. ^ “Sony Got Hacked Hard: Ce que nous savons et ne savons pas jusqu’à présent” . FILAIRE . Récupéré le 01/03/2016 .
24. ^ “Une ventilation et une analyse du piratage Sony de décembre 2014” . www.riskbasedsecurity.com . 5 décembre 2014 . Récupéré le 01/03/2016 .
25. ^ Van Buskirk, Pierre (2016-03-01). “Cinq raisons pour lesquelles l’opération Blockbuster est importante” . Novette . Récupéré le 16/05/2017 .
26. ^ “Novetta expose la profondeur de l’attaque de Sony Pictures – Novetta” . 24 février 2016.
27. ^ “Kaspersky Lab aide à perturber l’activité du groupe Lazarus responsable de multiples Cyber-attaques dévastatrices | Kaspersky Lab” . www.kaspersky.com . Archivé de l’original le 2016-09-01 . Récupéré le 29/02/2016 .
28. ^ Schram, Jamie (22 mars 2016). “La députée veut une enquête sur le vol ‘effronté’ de 81 millions de dollars de la Fed de New York” . Poste de New York .
29. ^ “Le groupe cybercriminel Lazarus a piraté la Banque du Bangladesh” . thedailystar.net . 20 avril 2017 . Récupéré le 13 mai 2021 .
30. ^ “Les États-Unis accusent la Corée du Nord pour le piratage de la banque du Bangladesh” . finextra.com . 6 septembre 2018 . Récupéré le 13 mai 2021 .
31. ^ “Comment se défendre contre le port TCP 445 et d’autres exploits SMB” . SearchSecurity . Récupéré le 14/01/2022 .
32. ^ Tempête, Darlene (2016-04-13). “Cryptoworms : l’avenir de l’enfer des rançongiciels” . Monde informatique . Récupéré le 14/01/2022 .
33. ^ ^{un bcd} 10. Kill switch , 2021-06-20 ^, récupéré ^2022-01-14
34. ^ “Un programmeur soutenu par le régime nord-coréen accusé de complot en vue de mener plusieurs cyberattaques et intrusions” . www.justice.gov . 2018-09-06 . Récupéré le 14/01/2022 .
35. ^ “BBC World Service – The Lazarus Heist, 10. Kill switch” . BBC . Récupéré le 21/04/2022 .
36. ^ ^{un bc} Al Ali, Nour (2018-01-16) ^. “Un groupe de hackers nord-coréen vu derrière une attaque cryptographique dans le sud” . Bloomberg.com . Récupéré le 17/01/2018 .
37. ^ ^{un b} Kharpal, Arjun (2018-01-17). “Des pirates informatiques soutenus par le gouvernement nord-coréen tentent de voler la crypto-monnaie des utilisateurs sud-coréens” . CNBC . Récupéré le 17/01/2018 .
38. ^ ^{un b} Mascarenhas, Jacinthe (2018-01-17). “Lazarus : des pirates nord-coréens liés au piratage de Sony étaient à l’origine d’attaques de crypto-monnaie en Corée du Sud” . International Business Times Royaume-Uni . Récupéré le 17/01/2018 .
39. ^ Limiton, Julia (2018-01-17). “Bitcoin, des crypto-monnaies ciblées par des hackers nord-coréens, révèle un rapport” . Affaires de renard . Récupéré le 17/01/2018 .
40. ^ Ashford, Warwick (2018-01-17). “Les pirates nord-coréens liés aux attaques de crypto-monnaie en Corée du Sud” . Ordinateur hebdomadaire . Récupéré le 17/01/2018 .
41. ^ “Fichiers d’échange crypto sud-coréens pour faillite après piratage” . Le temps des détroits . 2017-12-20 . Récupéré le 17/01/2018 .
42. ^ “Les échanges Bitcoin ciblés par les pirates nord-coréens, disent les analystes” . Argent MSN . 2017-12-21. Archivé de l’original le 18/01/2018 . Récupéré le 17/01/2018 .
43. ^ “Mise à jour de l’enquête sur les violations de sécurité de NiceHash – NiceHash” . NiceHash . Récupéré le 13/11/2018 .
44. ^ ^{un b} Volz (16 septembre 2019). “Les États-Unis ciblent le piratage nord-coréen comme une menace pour la sécurité nationale” . MSN . Consulté le 16 septembre 2019 .
45. ^ Stubbs, Jack (27 novembre 2020). « Exclusif : des pirates nord-coréens présumés ont ciblé le fabricant de vaccins COVID AstraZeneca – sources » . Reuters .
46. ^ “Les pirates nord-coréens ciblent les joueurs dans un braquage de crypto de 615 millions de dollars – États-Unis” . Nouvelles de la BBC . 2022-04-15 . Récupéré le 15/04/2022 .
47. ^ “Mise à jour de la désignation de la Corée du Nord” . Département américain du Trésor . Récupéré le 15/04/2022 .
48. ^ “Comment la Corée du Nord à peine connectée est devenue une superpuissance de piratage” . Poste du matin de la Chine du Sud . 1 février 2018 . Récupéré le 10 octobre 2021 .
49. ^ EST, Jason Murdock Le 09/03/18 à 09h54 (09/03/2018). “Alors que Trump se rapproche de Kim Jong-un, les pirates nord-coréens ciblent les grandes banques” . Newsweek . Récupéré le 16/08/2019 .
50. ^ ^{un bcde} “Le Trésor sanctionne les cybergroupes malveillants parrainés par l’État nord ^{– coréen “} . Département américain du Trésor . 2019.
51. ^ ^{un bcdef Centre de coordination de la cybersécurité du} secteur de la santé, (HC3) (2021). “Cyberactivité nord-coréenne” (PDF) . Département américain de la santé et des services sociaux .
52. ^ Meyers, Adam (2018-04-06). “STARDUST CHOLLIMA | Profil de l’acteur de la menace | CrowdStrike” . Récupéré le 16/08/2019 .
53. ^ Spinoff Lazarus APT lié aux hacks bancaires | Poste de menace
54. ^ ^{un bc “La Tactique} nord-coréenne” (PDF) . Fédération des scientifiques américains . L’armée américaine. 2020. pages E-1, E-2.
55. ^ “FASTCash 2.0: BeagleBoyz de Corée du Nord braquant des banques | CISA” .
56. ^ Alperovitch, Dmitri (2014-12-19). “Le FBI implique la Corée du Nord dans des attaques destructrices” . Récupéré le 16/08/2019 .
57. ^ Sang-Hun, Choe (2017-10-10). “Des pirates informatiques nord-coréens ont volé des plans militaires américano-sud-coréens, déclare un législateur” . Le New York Times . ISSN 0362-4331 . Récupéré le 16/08/2019 .
58. ^ Hus, Darien. “La Corée du Nord mordue par Bitcoin Bug” (PDF) . proofpoint.com . Récupéré le 16/08/2019 .
59. ^ Cimpanu, Catalin (17 février 2021). “Les États-Unis accusent deux autres membres du groupe de piratage nord-coréen ‘Lazarus'” . ZDNet . Récupéré le 20/02/2021 . {{cite web}}: Maint CS1 : url-status ( lien )
60. ^ “The Lazarus Heist : le brillant podcast de la BBC qui revisite les hacks Sony de 2014” . Des trucs . 2021-05-22 . Récupéré le 19/12/2021 .

Sources

• Nouvelles sur les virus (2016). « Kaspersky Lab aide à perturber l’activité du groupe Lazarus responsable de plusieurs cyberattaques dévastatrices », Kaspersky Lab .
• RBS (2014). “Une ventilation et une analyse du piratage Sony de décembre 2014” . Sécurité basée sur les risques.
• Cameron, Dell (2016). “Des chercheurs en sécurité disent que le mystérieux” groupe Lazarus “a piraté Sony en 2014”, The Daily Dot.
• Zetter, Kim (2014). “Sony a été piraté: ce que nous savons et ne savons pas jusqu’à présent”, Wired.
• Zetter, Kim (2016). “Les pirates informatiques de Sony causaient le chaos des années avant de frapper l’entreprise”, Wired.

Liens externes

• Acte d’accusation de Park Jin Hyok, septembre 2018
• Acte d’accusation de Park Jin Hyok, Jon Chang Hyok et Kim Il, janvier 2020
• Le podcast Lazarus Heist en 10 parties de BBC World Service .