Skip to main content

Après un an d’enquête, les experts en cybersécurité pensent que le groupe de hackers derrière le piratage historique de Sony de 2014 serait actif depuis 2009.

Le groupe de hackers derrière le piratage historique Sony survenu à la fin de l’année 2014 a mené d’autres attaques sur des cibles américaines et sud-coréennes qui remontent au moins à 2009, selon un rapport publié mercredi.

Le rapport, publié par un consortium d’entreprises de sécurité dirigé par Novetta, a constaté que les logiciels, les techniques, mots de passe et clés de chiffrement utilisés dans l’attaque Sony peuvent également être liés à une série d’attaques par déni de service perpétrées en 2009 ainsi qu’à un certain nombre d’attaques contre les médias sud-coréens, cibles financières et politiques entre 2011 à 2013. Cela suggère donc que le même groupe de hackers était aussi derrière ces opérations. De plus, depuis le piratage de Sony, un malware apparemment développé par le groupe, que Novetta a surnommé le « Lazarus Group », a été trouvé dans diverses campagnes, telles que l’Opération DarkSeoul contre des banques et des médias implantés dans la capitale sud-coréenne ou encore l’Opération Troy, qui visait les serveurs des forces militaires du pays.

Au cours de leur enquête, les chercheurs de Kaspersky Lab et leurs homologues d’AlienVault Labs ont remarqué que le groupe Lazarus laissait le même type de signature sur tous les outils qu’il a développés. Ils ont notamment repéré que les « droppers » (des fichiers spéciaux servant à installer différentes variantes d’une charge malveillante) conservaient tous leur charge dans une archive ZIP protégée par mot de passe. Or ce mot de passe était identique d’une campagne à l’autre et codé « en dur » dans le dropper. La protection par mot de passe devait empêcher des systèmes automatiques d’extraire et d’analyser la charge mais elle a en réalité aider les chercheurs à identifier le groupe. L’activité de ce dernier semble d’ailleurs calée sur les fuseaux horaires correspondant à une zone regroupant une grande partie de la Chine, l’Indonésie, la Malaisie, les Philippines et la Corée.

Selon Andre Ludwig, directeur technique du groupe Threat Research & Interdiction de Novetta, même si l’identification du groupe est importante, les experts en sécurité cherchent avant tout « une méthodologie destinée à démanteler d’autres groupes à l’origine d’attaques de grande ampleur au niveau mondial et à les empêcher de causer davantage de dommages ».

« La mise en commun de notre expertise nous a permis de mieux comprendre la logique du groupe Lazarus. Elle nous permettra, à l’avenir, d’être plus rapide dans l’identification de nouvelles menaces », ajoute Jaime Blasco, directeur scientifique chez AlienVault.

L’énorme piratage du 24 novembre 2014 a conduit à la publication d’informations personnelles et confidentielles d’employés de Sony ainsi qu’à la fuite sur le net de plusieurs films.