Une filtration révèle comment les pirates de Corée du Nord volaient des titres de compétences au gouvernement sud-coréen

En février dernier, une filtration baptisée en tant que « Kim Dump » a secoué la communauté internationale de cybersécurité. C'était un paquet de fichiers volés à un opérateur lié à Kimsuky (APT43), l'un des groupes de pirates les plus actifs et les plus sophistiqués associés à la Corée du Nord.

Ce qui a été révélé était quelque peu inhabituel: pas de simples échantillons de logiciels malveillants, mais l'environnement de travail complet de l'attaquant, avec l'historique des commandes, les brouillons d'outils, les enregistrements d'accès, les documents techniques et même les captures d'écran de votre ordinateur.

Cependant, à cette époque, le matériau était un dépassement brut: des milliers de fichiers désordonnés, dans plusieurs langues, avec un matériau très diversifié.

Désormais, les analystes de la cybersécurité ont fini d'étudier ce matériel et ont commencé à publier des rapports plus complets, qui offrent un look sans précédent au jour le jour d'un espion numérique nord-coréen, et révèle comment ils ont conçu, prouvé et déployé des attaques à grande échelle contre les gouvernements et les compagnies de Corée du Sud et de Taiwan … avec l'ombre possible de l'ombre chinoise.

Un laboratoire clandestin exposé

Parmi les fichiers filtrés, il est apparu des enregistrements de console où l'opérateur a compilé manuellement le code malveillant à bas niveau (assemblage), testé et effacé pour masquer les traces. Il y avait des enregistrements sur l'utilisation des OCR (reconnaissance des caractères optiques) pour analyser des documents en coréen sur les infrastructures critiques, telles que l'infrastructure de clé publique (GPKI) qui gère l'identité numérique de millions de citoyens sud-coréens.

Ils ont également trouvé:

  • Clés numériques volées aux serveurs gouvernementaux, avec des mots de passe en texte plat.
  • Rootkits pour Linux capable de se cacher dans le cœur du système et de passer inaperçu avant même les outils de sécurité.
  • Un réseau de fausses pages qui imitaient des portails officiels (comme mofa.go.kr, du ministère sud-coréen des Affaires étrangères) pour voler des titres de compétences en temps réel.

En un mot, le matériau montre une opération qui va bien au-delà du «phishing» classique: combine l'espionnage technique, le vol d'identités numériques et le contrôle d'infiltration des serveurs critiques.

Or numérique: références et certificats

Le fil conducteur de l'ensemble de l'opération est l'obsession des références. Pour l'attaquant, un mot de passe ou un certificat numérique n'est pas seulement un accès: c'est la clé principale pour se déplacer sans être détectée. Les enregistrements filtrés montrent comment l'opérateur a obtenu l'accès aux comptes administrateurs (avec des noms tels que «Oracle» ou «Svradmin»), a changé de passe et a noté chaque succès avec le mot coréen «변경완료 변경완료» («Changement terminé»).

Dans d'autres cas, le butin était des fichiers '.

Que fait la Chine entre les deux?

L'analyse de la «fuite de Kim» confirme que la Corée du Sud est l'objectif prioritaire, à la fois ses systèmes d'identité numérique, comme ses réseaux gouvernementaux et ses communications diplomatiques. Cependant, il surprend l'attention aux détails envers Taiwan, où l'opérateur a tenté d'explorer des référentiels de recherche aéronautique et des portails d'authentification cloud.

Ici, le doute d'attribution entre en jeu. Certaines indications, telles que la langue et la connaissance du GPKI, indiquent clairement un acteur nord-coréen …

… Mais d'autres éléments – l'utilisation de plates-formes chinoises telles que Baidu ou Gitee, les connexions des IP de télécommunications chinoises, l'histoire de la navigation en mandarin simplifié – suggèrent que l'attaquant opérait à partir du sol chinois ou avec son soutien tacite. Rien qui nous surprend, compte tenu des récents échantillons publics d'affection intergouvernementale Sino-Norcoreano.

Portrait d'un pirate entre deux mondes

L'apparence la plus curieuse de la filtration est son aspect «culturel»: dans les histoires, les mèmes, les manuels techniques et même les publicités mobiles Huawei ont été trouvées en chinois simplifié. Tout cela renforce l'hypothèse selon laquelle l'opérateur a maintenu une «identité numérique» intégrée dans la vie en ligne de la Chine, à la fois pour «se camoufler lui-même» et pour interagir avec des victimes possibles dans cet écosystème.

Pourquoi cette fuite est-elle importante?

Ce qui rend le «vidage Kim» unique, c'est qu'elle montre comment la Corée du Nord se concentre sur le vol des informations d'identification en tant que levier pour les opérations à long terme. Les implications sont sérieuses:

  • La Corée du Sud et Taïwan doivent renforcer la protection de leurs systèmes d'identité numérique, certificats et accès administratifs.
  • L'affaire confirme la tendance aux opérations conjointes entre la Corée du Nord et la Chine, ce qui complique l'attribution et la réponse internationale.
  • Pour la communauté mondiale, cette filtration rappelle que le maillon le plus faible n'est pas toujours l'utilisateur final, mais l'infrastructure de confiance numérique qui soutienne les gouvernements et les entreprises.

Via | Tools de domaine

Eric

Eric

Je m'appelle Eric, rédacteur passionné pour le média Prodiris, spécialisé dans les actualités du monde du web. Ma curiosité insatiable et mon expertise me permettent de déchiffrer les tendances numériques pour les partager avec précision et enthousiasme auprès de nos lecteurs.

Contact

[email protected]

Newsletter

Rejoignez notre newsletter pour des astuces chaque semaine