Après avoir redoublé de prudence, au début de son enquête, pour évoquer les possibles liens entre le groupe de hackers nord-coréens Lazarus Group et l’attaque au ransomware WannaCrypt (ou WannaCry), qui a infecté plus de 200 000 ordinateurs dans 150 pays, Symantec se montre désormais bien plus affirmatif.
« Les outils et l’infrastructure utilisés dans l’attaque […] entretiennent des liens importants avec Lazarus, le groupe responsable des attaques destructrices contre Sony Pictures et le vol de 81 millions de dollars à la banque centrale du Bangladesh. […] Il est très probable que Lazarus soit derrière WannaCry » explique ainsi la firme.
Toutefois, l’entreprise tient à écarter la piste d’une opération commanditée par un État — alors que la Corée du Nord a justement nié toute responsabilité en dépit de l’existence d’une cellule de renseignement dédiée au hacking : « Malgré les liens avec Lazarus, [l’attaque] WannaCry ne porte pas la marque d’une campagne menée par un État mais plutôt celle d’un cybercrime. » Il est toutefois à noter que Symantec n’a pas pour habitude d’accuser directement des gouvernements : son équipe ne réfute pas la thèse selon laquelle Lazarus aurait agi pour le compte de la Corée du Nord.
Lignes de code et adresse IP similaires
Outre la présence de multiples lignes de code similaires dans différentes versions de WannaCry et les précédentes opérations du groupe de hackers, Symantec appuie son affirmation sur le fait que la même connexion Internet a été utilisée pour installer la première version de WannaCry et pour accéder à l’un des outils qui avait permis de détruire des fichiers chez Sony en 2014. Le piratage massif du studio avait notamment entraîné la publication de mails internes aux informations sensibles, mais aussi la mise en ligne de films encore attendus en salle.
Symantec liste plusieurs autres éléments potentiellement à charge : « Après la première attaque WannaCry en février [la première version du ransomware], trois éléments de malware liés à Lazarus ont été découverts sur le réseau de la victime : Trojan.Volgmer et deux variantes de Backdoor.Destover, l’outil effaçant les données d’un disque dur qui avait été utilisé pendant les attaques contre Sony. »
L’entreprise poursuit : « Trojan. Alphanc, utilisé pour propager WannaCry au cours des attaques de mars et d’avril, est une version modifiée de Backdoor.Duuzer, qui avait déjà été relié à Lazarus. »
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !