Le groupe de cyberespionnage APT45 : Une nouvelle menace financière

Un acteur de la cybermenace, lié à la Corée du Nord et bien connu pour ses opérations de cyberespionnage, a progressivement élargi son champ d’action vers des attaques à motivation financière, impliquant le déploiement de ransomware. Ce changement distingue ce groupe des autres hackers d’État nord-coréens.

Google, via sa filiale Mandiant, suit désormais ce cluster d’activité sous le nouveau nom d’APT45, qui chevauche d’autres alias tels que Andariel, Nickel Hyatt, Onyx Sleet, Stonefly et Silent Chollima.

« APT45 est un opérateur nord-coréen de cyberespionnage, modérément sophistiqué, actif depuis 2009, » expliquent les chercheurs Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan et Michael Barnhart. « APT45 s’est principalement concentré sur les infrastructures critiques. »

APT45, ainsi que d’autres groupes tels que APT38 (connu sous le nom de BlueNoroff), APT43 (alias Kimsuky) et Lazarus Group (alias TEMP.Hermit), font partie du Bureau général de reconnaissance (RGB) de la Corée du Nord, l’organisme de renseignement militaire de premier plan du pays.

Ransomware et motivations financières

APT45 est particulièrement lié au déploiement de familles de ransomware telles que SHATTEREDGLASS et Maui. Ces malwares ont ciblé des entités en Corée du Sud, au Japon et aux États-Unis en 2021 et 2022. Les détails de SHATTEREDGLASS ont été documentés par Kaspersky en juin 2021.

« Il est possible qu’APT45 mène des cybercrimes à motivation financière non seulement pour soutenir ses opérations, mais aussi pour générer des fonds pour d’autres priorités de l’État nord-coréen, » a déclaré Mandiant.

Un autre malware notable dans son arsenal est un cheval de Troie, baptisé Dtrack (alias Valefor et Preft). Il a été utilisé pour la première fois lors d’une attaque informatique contre la centrale nucléaire de Kudankulam en Inde en 2019, marquant l’une des rares instances publiques où des acteurs nord-coréens ont ciblé des infrastructures critiques.

« APT45 est l’un des opérateurs cybergérants les plus anciens de la Corée du Nord. Les activités du groupe reflètent les priorités géopolitiques du régime, passant des activités classiques de cyberespionnage contre des entités gouvernementales et de défense vers des secteurs comme la santé et la science des cultures, » ajoute Mandiant.

La révélation de ces opérations coïncide avec une annonce par l’entreprise de formation à la sécurité, KnowBe4, qui a été trompée dans l’embauche d’un travailleur informatique nord-coréen, se faisant passer pour un citoyen américain grâce à une combinaison d’identité volée et de manipulation d’image par intelligence artificielle.

Les implications en matière de sécurité des ressources humaines

« Cet incident impliquait un travailleur nord-coréen qualifié, soutenu par une infrastructure criminelle de l’État, utilisant l’identité volée d’un citoyen américain et participant à plusieurs cycles d’entretiens vidéo, contournant les processus de vérification des antécédents couramment utilisés par les entreprises, » informe KnowBe4.

Le groupe de travailleurs IT, évalué comme faisant partie du Département de l’industrie des munitions du Parti des travailleurs de Corée, a une histoire de recherche d’emploi dans des entreprises basées aux États-Unis en prétendant être localisé dans le pays, alors qu’ils se trouvent en réalité en Chine et en Russie, accédant à distance avec des ordinateurs portables fournis par les entreprises.

KnowBe4 a détecté des activités suspectes sur l’ordinateur Mac envoyé à cet individu le 15 juillet 2024 à 21h55. Ces activités incluaient la manipulation de fichiers d’historique de session, le transfert de fichiers potentiellement nuisibles et l’exécution de logiciels malveillants. Le malware a été téléchargé en utilisant un Raspberry Pi.

Vingt-cinq minutes plus tard, la société de cybersécurité basée en Floride a isolé l’appareil de l’employé. Rien n’indique que l’attaquant a accédé à des données ou systèmes sensibles de manière non autorisée.

« Le stratagème consiste à réaliser le travail, être bien payé, et reverser une grande partie des revenus à la Corée du Nord pour financer leurs programmes illégaux, » a déclaré Stu Sjouwerman, PDG de KnowBe4.

« Cet incident souligne le besoin crucial de processus de vérification plus robustes, une surveillance continue de la sécurité et une meilleure coordination entre les équipes des ressources humaines, IT et sécurité pour se protéger contre les menaces persistantes avancées. »

Implications sécuritaires : Ce que vous devez savoir

Les risques associés à ces découvertes sont multiples. Le passage d’APT45 à des attaques à motivation financière augmente le spectre des menaces pour les entreprises, en particulier celles liées aux infrastructures critiques. Les ransomwares comme SHATTEREDGLASS et Maui peuvent paralyser des systèmes entiers, entraînant des pertes financières et des perturbations opérationnelles majeures. L’infiltration réussie d’une personne utilisant une identité volée, comme le montre l’incident avec KnowBe4, expose les faiblesses dans les processus de recrutement et de vérification des antécédents, rendant les entreprises vulnérables à des attaques internes.

Protégez-vous : Étapes clés contre les nouvelles vulnérabilités

Pour se protéger contre ces risques, les entreprises doivent renforcer leurs processus de vérification des antécédents et utiliser des outils de surveillance continue de la sécurité. L’implémentation de solutions de détection avancée pour les activités suspectes, la formation régulière des employés à la reconnaissance des menaces internes et externes, et l’adoption de politiques de sécurité robustes sont essentielles pour réduire les vulnérabilités. En renforçant la coopération entre les équipes RH, IT et sécurité, les entreprises peuvent mieux prévenir et répondre aux cybermenaces sophistiquées.

Found this article interesting? Follow us on Twitter and LinkedIn to read more exclusive content we post.