Technologie

La Corée du Nord pourrait être liée au ransomware WannaCry

Par

le

Les chercheurs de Kaspersky Lab ont découvert des éléments qui relient le code du ransomware WannaCry à la Corée du Nord.

Depuis vendredi, une attaque baptisée WannaCrypt sévit à travers le monde. Celle-ci, qui est considérée comme la plus grande attaque de type ransomware jamais enregistrée, perturbe les ordinateurs qu’exploitent des usines, des banques, des organismes gouvernementaux et des systèmes de transport.

S’’il était trop tôt hier pour dire qui est derrière l’assaut ainsi que la motivation, les chercheurs de Kaspersky Lab ont découvert de nouvelles preuves qui relient le code du ransomware WannaCrypt (ou WannaCry) à la Corée du Nord. Dans un article publié aujourd’hui, le groupe a détaillé un segment de code utilisé à la fois dans une première variante de WannaCry et retrouvé dans un échantillon datant de février 2015 attribué au groupe Lazarus, un groupe suivi par Kaspersky et lié au gouvernement nord-coréen. Cette information a d’abord été détecté par la chercheuse de chez Google Neal Mehta, et Kaspersky croit que la similitude va bien au-delà du simple code partagé.

« Nous croyons fermement que l’échantillon de février 2017 a été compilé par les mêmes personnes », écrit Kaspersky, « ou par des personnes ayant accès au même code source que le cryptage WannaCry de mai 2017 utilisé lors de la vague d’attaques du 11 mai ».

Symantec a trouvé des connexions similaires, selon un rapport publié dans Cyberscoop, bien que la société ait déclaré qu’il était difficile de déterminer la signification du code partagé. « Bien que ces connexions existent, elles représentent jusqu’à présent seulement de faibles connexions », a déclaré la société dans un communiqué. « Nous continuons d’enquêter sur des liens plus solides ».

À un certain niveau, il est difficile de savoir à quoi faire. WannaCry se comporte comme un ransomware standard, et avant cette dernière découverte, il n’y avait aucune raison de soupçonner qu’un État-nation était derrière. Ce type d’analyse de code précoce est nécessairement spéculatif, et il est tout à fait plausible que les auteurs de WannaCry ont récupéré le code pertinent d’un échantillon nord-coréen tout comme ils l’ont fait pour le code EternalBlue de la NSA. Même si toutes les hypothèses de Kaspersky sont vraies, cela pourrait être le résultat d’une violation interne des données plutôt que d’une opération gouvernementale.

Pourtant, c’est un indice fascinant pour l’origine de l’un des vers les plus dangereux que l’Internet ait jamais vu. S’il y a un lien entre WannaCry et la Corée du Nord, cela suggérera que les origines de l’attaque sont beaucoup plus inhabituelles que n’importe qui soupçonné.

Articles recommandés