(par Ciro Metaggiata) Etre capable de s'orienter correctement dans cet énorme «espace gris» qui devient cyber-espace est une entreprise très complexe. Être capable de déterminer qui est réellement l'exécuteur testamentaire et qui est l'instigateur d'une cyberattaque, surtout dans le contexte des enquêtes judiciaires, l'est encore plus. Cependant, dans le contexte de l'univers de plus en plus vaste et varié des pirates informatiques, il est possible d'identifier des groupes criminels capables de mener des cyber-campagnes qui ont une résonance mondiale.
Par conséquent, nous consacrons une série d'articles aux groupes de cybercriminels considérés comme les plus pertinents au niveau planétaire, en passant brièvement en revue leurs actes. Avant de commencer, cependant, il est nécessaire de faire quelques prérequis.
Premièrement, comme mentionné ci-dessus, ce sont des pirates informatiques, très différents des hackers dits «éthiques» qui, dans de nombreux cas, constituent une ressource précieuse mais, trop souvent, insuffisamment valorisés. Les hackers éthiques, en effet, ne tirent aucun profit de leurs actions (sauf gratification personnelle) mais, au contraire, aident les entités à faire attention à améliorer la sécurité des systèmes informatiques utilisés, à détecter et signaler les vulnérabilités, en avance sur le réel malveillant.
Deuxièmement: les noms attribués aux groupes criminels ne sont généralement pas les vrais, mais sont attribués par des chercheurs ou des enquêteurs qui peuvent les identifier. Par conséquent, compte tenu du fait qu'il arrive souvent qu'un groupe reçoive plus d'un nom, avec pour conséquence de créer une confusion, les articles utiliseront les alias sur lesquels convergent la plupart des recherches effectuées sur eux.
Troisièmement: tant l'origine géographique de ces groupes que leur composition (criminels, agents du renseignement, militaires, militants politiques, etc.), sont généralement établies sur la base d'enquêtes complexes qui ne parviennent pas à éliminer complètement les incertitudes. En particulier, les chercheurs analysent et corrélent les traces laissées par les pirates pendant et après les attaques comme, par exemple, les mots de passe utilisés, les fragments de code avec lesquels le malware a été écrit, les clés de chiffrement, les techniques de masquage utilisées. induire en erreur les enquêteurs, les structures de commandement et de contrôle mises en place et d'autres éléments particuliers reconnaissables dans les tactiques et techniques utilisées par chaque groupe individuel.
Sur la base de ces preuves, par conséquent, les entreprises de cybersécurité, les centres de recherche et même le renseignement, identifient des groupes de hackers et leur attribuent leurs noms respectifs qui, comme mentionné, ne sont pas toujours partagés. En fin de compte, on n'a pas encore découvert grand-chose sur ces groupes et l'impénétrable aura de secret qui les entoure leur permet de commettre leurs actes criminels, pour le moment, en toute impunité.
Sans ces prémisses, nous passons au groupe récemment dansé par nul autre que la Maison Blanche: Le Groupe Lazarus.
Plus précisément, ces dernières semaines, le gouvernement des États-Unis a désigné la Corée du Nord comme l'instigateur de la cyberattaque dévastatrice de portée mondiale, connue sous le nom de WannaCryptor (voir l'article). De plus, selon les enquêteurs américains, l'auteur matériel était un groupe de hackers qui dans le passé s'est déjà distingué dans d'autres cyberopérations, liées au régime nord-coréen: le groupe Lazarus, en fait. Cependant, à part la nationalité présumée, on ne sait pas grand-chose sur la genèse et la composition du groupe, à tel point qu'on ne sait pas s'il s'agit de cybercriminels engagés par le régime nord-coréen ou s'il s'agit plutôt d'une cellule opérationnelle de l'unité fantôme. 180 ”du Bureau général de reconnaissance. En tout cas, Lazarus a une particularité: il a des compétences offensives en croissance exponentielle et des objectifs très diversifiés à travers le monde. Plus précisément, les chercheurs ont noté que, bien que Lazarus n'ait jamais développé de logiciels malveillants particulièrement sophistiqués à ce jour, il a en revanche une forte capacité à en produire de nouveaux avec une facilité apparente. Fondamentalement, le groupe est capable d'apprendre ou de concevoir des méthodes d'attaque avec une vitesse difficile à trouver dans d'autres cellules cybercriminelles. En outre, on sait que Lazarus opère dans le monde entier et est capable de mener des campagnes qui ont des activités très différentes pour des objectifs très différents: forces armées, institutions financières (même celles qui traitent de crypto-monnaies), entreprises du secteur de l'énergie et autres types d'entreprises privées telles que Sony qui, comme nous le verrons plus loin, était impliqué dans un différend entre les États-Unis et la Corée du Nord malgré lui.
Le programme de Lazarus est donc particulièrement corsé, reflétant son dynamisme et sa cruauté. En particulier, déjà à partir de 2007, le groupe aurait été reconnu pour avoir mené des campagnes d'espionnage et de sabotage visant des objectifs multiples.
Par la suite, dans le 2013, il aurait été distingué pour avoir perpétré des cyber-attaques contre certaines banques et sociétés de communications situées en Corée du Sud.
Pourtant, c'est en 2014 l'année où Lazarus s'est imposé, lorsqu'il a été attribué par le Federal Bureau of Investigation, l'attaque sensationnelle contre les serveurs de la société Sony Picture Entertainment. Plus précisément, le 24 novembre, le réseau de cette entreprise a été mis à genoux par une cyberattaque et une énorme quantité de données personnelles d'employés a été exfiltrée vers une destination inconnue. Tout cela s'est produit à l'occasion du lancement du film satirique américain The Interview, distribué par Sony et jugé comme un véritable scandale pour le régime nord-coréen. Plus tard, malgré les représailles américaines qui ne tardent pas à venir à la fois en termes de sanctions économiques et de cyber-représailles (avec des résultats incertains), Lazarus a rapidement repris ses cyberopérations.
L'année suivante, en effet, a été caractérisée par plusieurs cybercampagnes attribuées au groupe en question, ciblées sur la Corée du Sud, les États-Unis et, plus limitées, situées dans d'autres pays, menées par de nombreux logiciels malveillants aux caractéristiques et objectifs différents. ("Destruction" de données, plutôt que d'espionnage) comme Hangman, Destrover, DeltaCharlie ou WildPositron pour n'en nommer que quelques-uns.
En février, 2016 a été attribué à Lazarus la tentative, en partie réussie, de cyber-vols avec le plus gros butin jamais enregistré dans l'histoire: la cyberattaque contre la banque centrale du Bangladesh. Plus précisément, au cours de deux jours de la Banque centrale fermée le groupe géré, sans passer par les systèmes de sécurité, d'ordonner le transfert de près 1 milliards de dollars à la Réserve fédérale américaine et de là à certains comptes courants au Sri Lanka et aux Philippines . Heureusement, l'institution américaine a bloqué la plus grande tranche du transfert et un certain montant a été récupéré dans les mois suivants. Cependant, plus de 60 millions de dollars auraient perdu la trace grâce aux nombreuses étapes sur les comptes courants répartis en Asie du Sud-Est. Cette histoire a soulevé de nombreuses questions sur la vraie nature et les objectifs de Lazarus, encore non résolus. Était-ce une tentative de mettre à genoux l'économie bangladaise (elle-même loin d'être florissante) et de déstabiliser ce pays ou, plutôt, un cambriolage «vulgaire»?
Le fait est que, plus tard, dans la période 2016-2017, à travers la cybercampagne basée sur le malware baptisé Ratankba, le groupe se concentrerait à nouveau sur les institutions financières, cette fois, appartenant à la moitié du monde.
Enfin, après la WannaCryptor attaque mondiale, qui a déjà été écrit, la fin de l'année dernière Lazare était intéressé par l'activité croissante des monnaies et crypto, en particulier, dans une banque de Londres, dont les employés étaient " ciblé "par des e-mails contenant des pièces jointes ou des liens vers des sites Web, compromis par un malware spécialement" emballé ".
En conclusion, qu'il s'agisse d'une unité de renseignement nord-coréenne ou d'un cybercrime parfois engagé par le régime, le groupe Lazarus peut toujours être considéré comme une unité d'élite respectable. Sa capacité à lancer et mener des campagnes de portée mondiale et à «changer de peau» le rend en effet particulièrement efficace et extrêmement dangereux.
Que les héritiers des anciens, des guerriers redoutables Hwarang (jeunes appartenant à des familles nobles, qui venivani cultivé et formé pour former la direction militaire) ou les cyber-criminels qui ont créé une association profitable avec le régime, le Groupe Lazare est l'un des meilleurs et "armées" imprenables du cyberespace.
Source: DIFESAONLINE