Le 17 mai 2024, la NSA (Agence de Sécurité Nationale) et le FBI ont émis un avis conjoint de cybersécurité concernant APT43, un groupe de pirates informatiques lié à la Corée du Nord (RPDC). Ce groupe a été observé en train d’exploiter des politiques DMARC (Domain-based Message Authentication Reporting and Conformance) faibles pour masquer des attaques de harponnage (spearphishing). En abusant des politiques DMARC mal configurées, ils envoient des courriels usurpés semblant provenir de sources crédibles telles que des journalistes, des universitaires et des experts en affaires est-asiatiques. La NSA souligne que la RPDC utilise ces campagnes de harponnage pour recueillir des renseignements sur les événements géopolitiques et les stratégies de politique étrangère des adversaires. De plus, ces groupes de menaces fournissent les données volées au régime nord-coréen en compromettant des analystes politiques et d’autres experts.Depuis 2018, les opérateurs de l’APT43 se font passer pour des journalistes et des universitaires afin de mener des campagnes de harponnage, ciblant des think tanks, des centres de recherche, des institutions académiques et des organisations médiatiques aux États-Unis, en Europe, au Japon et en Corée du Sud. L’organisation principale de renseignement militaire de la RPDC, le Bureau Général de Reconnaissance (RGB), est associée à une large gamme d’activités de collecte de renseignements et d’espionnage coordonnées par le groupe de menaces parrainé par l’État APT43, également connu sous les noms de Kimsuky, Emerald Sleet, Velvet Chollima et Black Banshee. Kimsuky, subordonné au 63e Centre de Recherche du RGB de la RPDC, mène des campagnes cybernétiques depuis au moins 2012 pour maintenir des renseignements à jour sur les États-Unis, la Corée du Sud et d’autres pays d’intérêt en soutien aux objectifs du RGB.En avril, les autorités sud-coréennes ont révélé une opération de piratage importante au cours de laquelle des hackers nord-coréens ont dérobé des secrets de défense pendant une année. L’Agence Nationale de Police Coréenne (KNPA) a attribué la campagne à trois groupes parrainés par l’État nord-coréen : Lazarus, Kimsuky et Andariel. Selon des rapports locaux, ces groupes ont ciblé jusqu’à 83 entrepreneurs et sous-traitants de la défense, compromettant et extrayant avec succès des informations sensibles d’au moins dix individus entre octobre 2022 et juillet 2023. Le rapport de la KNPA a mis en lumière un cas où des acteurs de la menace ont exploité une vulnérabilité du système de messagerie, leur permettant de télécharger de gros fichiers sans authentification. De plus, ils ont tiré parti d’une sécurité de mot de passe faible pour pirater le compte d’une société de maintenance informatique tierce, infectant par la suite un entrepreneur de défense avec des logiciels malveillants. Les rapports indiquent que l’employé compromis utilisait le même mot de passe pour ses courriels professionnels et personnels. Dans un troisième exemple, les administrateurs ont suspendu les contrôles de sécurité sur un réseau interne pendant les tests, ce qui a permis aux adversaires de compromettre et d’exfiltrer des données sensibles.La Corée du Sud est devenue un acteur majeur dans le commerce mondial des armes, avec des contrats récents totalisant des milliards de dollars pour l’acquisition d’obusiers, de chars et de chasseurs. Selon un expert en défense anonyme, l’armement de la RPDC devient de plus en plus similaire à celui de la Corée du Sud. La conception du KN-23, un missile sol-sol récemment dévoilé par la RPDC, ressemble étroitement à celle du missile balistique Hyunmoo-4 de la Corée du Sud.
Menaces Cyber Nord-Coréennes : Comment APT43 Exploite les Failles de Sécurité Email
Le
