Et si l’attaque du ransomware WannaCry était bien l’œuvre de la Corée du Nord ? D’après la société de sécurité informatique Symantec, plusieurs indices montrent que le groupe de hackers nord-coréen Lazarus pourrait bel et bien se cacher derrière cette manœuvre. Jusqu’à présent, les doutes étaient importants, mais manquaient encore de preuves tangibles.
Eric Chien, enquêteur chez Symantec, a ainsi donné plus de détails au New York Times : « D’après tout ce que nous avons vu, les preuves techniques indiquent qu’il s’agit de Lazarus ». Son équipe s’est tout d’abord rendue compte que le premier ordinateur a été infecté par WannaCry dès le mois de février. En deux minutes, les assaillants auraient ainsi infecté plus de 100 ordinateurs, avec la réaction en chaîne que l’on connaît.
Des méthodes déjà vues chez Lazarus
Les enquêteurs de la société ont aussi constaté que le serveur de commande et de contrôle était le même que celui utilisé pour l’attaque de Sony Pictures en 2014. Elle avait déjà été imputée à la Corée du Nord. Les mêmes outils avaient été aussi utilisés lors de l’attaque de plusieurs banques et médias sud-coréens en 2013. D’après Symantec, les outils utilisés par WannaCry auraient évolué, mais ne seraient bien que des variantes de ces premiers.
L’équipe d’Eric Chien a également constaté qu’un outil inclus dans WannaCry efface toutes les données précédemment laissées par les autres attaques de Lazarus. Enfin, la méthode de chiffrement de WannaCry serait assez particulière et rare pour être identifiable. « Nous ne l’avons vue nulle part ailleurs », précise le chercheur en mentionnant encore une fois le groupe Lazarus.
Ces nombreux indices pointent donc largement vers la Corée du Nord et son groupe Lazarus. Il faut cependant rester prudent, certains hackers n’hésitant pas à se faire passer pour d’autres, le meilleur moyen de brouiller les pistes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.