Dans un rapport de 211 pages du conseil de sécurité de l’ONU sur les activités nord-coréenne, on peut lire quelques détails sur des cyberattaques attribuées à Pyongyang. Repéré par ZDNet, le passage met en cause Kimsuky, un gang de hackers désigné comme APT (« advanced persistent threat »), un de ces groupes œuvrant pour le compte d’un État (ici, la Corée du Nord). C’est un État membre de l’ONU, non cité, qui a documenté les tentatives.
Kimsuky s’est spécialisé dans le « spear-phishing », autrement appelé « harponnage ». Il vise un petit nombre d’individus avec des messages taillés sur mesure pour chaque cible, envoyés par email ou sur WhatsApp. L’objectif de l’opération est de dérober des identifiants grâce à de fausses pages de connexion, ou de faire télécharger un malware, selon les tentatives. À la clé : l’accès à des comptes fournis en informations stratégiques, que le gouvernement nord-coréen pourrait exploiter.
Pour convaincre ses cibles, le groupe crée de faux messages d’alerte similaires à ceux envoyés par l’ONU, ou bien se fait passer pour des journalistes. Dans son rapport, le conseil de sécurité expose la capture d’une tentative envoyée sur WhatsApp :
« Bonjour, c’est [le nom a été barré] , journaliste assistant au Washington Post. Je suis responsable de la couverture de l’actualité liée aux Corée du Sud et du Nord. Je voulais vous proposer une interview vidéo. N’hésitez pas à me contacter. Dans l’attente de vous rencontrer. »
Le message reprend des formulations classiques d’un message de demande d’interview, et le poste d’« assistant » permet de justifier l’absence, ou le peu de traces en ligne, du nom du prétendu journaliste.
28 représentants visés, une campagne toujours en cours
Ces techniques de phishing ont visé 28 représentants de l’ONU entre mars et avril. Parmi elles, 11 personnes issues de 6 pays différents siègent au conseil de sécurité, qui observe en détail l’évolution des essais nucléaires nord-coréens et le respect des sanctions internationales. Et ce n’est pas tout : Kimsuki se serait aussi attaqué aux membres du gouvernement du pays qui a rapporté l’information.
Ce n’est pas la première fois que l’ONU pointe les activités de Kimsuky, et en 2019, l’Anssi, l’agence française de référence sur la cybersécurité, s’était aussi penché sur son cas. À l’époque, le groupe avait visé les représentants de cinq pays, dont la France, la Belgique et la Chine.
D’après l’ONU, la campagne de Kimsuky n’est toujours pas terminée, même si elle a connu un pic en avril. La Corée du Nord, via ses groupes de cybercriminels affiliés comme Kimsuly ou Lazarus, continue de lorgner les informations stratégiques, qu’elles émanent du Conseil de Sécurité ou du Haut-Commissariat aux droits de l’Homme.
Le panel du conseil de sécurité ne compte pas se laisser faire : « nous réitérons notre propos que ces cyberattaques, qu’elles soient passées ou en cours, contre les organes mandatés pour surveiller l’implémentation des sanctions infligées par l’ONU, doivent être envisagées comme des tentatives d’évasion aux sanctions, au vu de la persistance de ces attaques. »
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !