Comment un agent nord-coréen parvient-il à menacer les infrastructures critiques américaines par des cyberattaques? Rim Jong Hyok, opéré par l’intelligence nord-coréenne, est accusé d’avoir utilisé des ransomwares pour perturber les systèmes de santé américains. Rim fait partie d’Andariel, une cellule contrôlée par le Bureau Général de Reconnaissance de Corée du Nord, selon le Département d’État américain.
En 2021, un centre médical dans le Kansas a informé le FBI d’une attaque ayant bloqué l’accès aux dossiers des patients et aux résultats des tests de laboratoire. Est-ce le modus operandi typique d’Andariel ? Oui, en effet. Le groupe pénètre les systèmes informatiques et les infecte avec le ransomware Maui, demandant ensuite une rançon en Bitcoin sous peine de divulguer des informations sensibles. Le groupe a exigé 100 000 dollars en Bitcoin dans les 48 heures. Comment ces fonds sont-ils utilisés ? Apparemment, ils servent à acheter du matériel pour d’autres cyberattaques.
Mais comment les autorités américaines ont-elles réagi ? En 2022, le FBI, le CISA et le Département du Trésor ont publié un avertissement conjoint sur la cybersécurité face aux attaques d’Andariel. Ils estiment que ces acteurs parrainés par la Corée du Nord ciblent les organisations de santé, croyant qu’elles paieront les rançons en raison de la nature vitale de leurs services. Les enquêteurs fédéraux ont pu suivre la rançon du centre médical du Kansas à travers plusieurs blockchains, découvrant qu’elle avait été transférée à des ressortissants de Hong Kong avant d’atterrir dans une banque chinoise.
Et Andariel ne s’en est pas tenu qu’aux hôpitaux, mais a aussi visé des bases militaires américaines et la NASA.
De plus, Andariel et Rim sont accusés d’avoir infiltré 17 entités réparties dans 11 États, comprenant des sous-traitants de la défense, des bases aériennes et même la NASA. Le groupe aurait pu rester dans les systèmes de la NASA pendant trois mois, volant 17 gigaoctets d’informations classifiées. Lors d’une opération ciblant un sous-traitant de la défense en novembre 2022, ils auraient extrait plus de 30 gigaoctets de données sur les matériaux utilisés pour les avions militaires et satellites américains.
La menace posée par Rim et Andariel est-elle isolée ou fait-elle partie d’une guerre cybernétique plus large menée par la Corée du Nord ? D’autres groupes et agents seront-ils identifiés et neutralisés grâce à la coopération internationale et à l’échange d’informations ? Une chose est sûre: la cybersécurité doit rester une priorité pour toutes les infrastructures critiques des États-Unis.
Source : Engadget