Trois groupes bien connus de pirates informatiques liés au régime nord-coréen ont réussi à infiltrer une douzaine d’entreprises sud-coréennes du secteur de la défense au cours de la dernière année et demie pour tenter d’obtenir des technologies spécifiques, selon l’Agence nationale de la police (NPA). rapporté ce mardi. ) dans Sel.
Selon le NPA, il s’agit de la première cyberattaque synchronisée lancée par ces trois groupes (Lazarus, Andariel et Kimsuky) contre des entités liées aux armes, confirmée jusqu’à présent.
L’enquête policière a révélé que depuis novembre 2022, Lazarus a piraté le serveur externe de l’une des sociétés concernées et implanter du code malveillantprenant finalement le contrôle de l’intranet de l’entreprise et transférant les données clés de six ordinateurs de l’entreprise vers un serveur cloud basé à l’étranger, a déclaré la NPA lors d’une conférence de presse.
Pour sa part, Andariel extrayait des données des technologies d’une autre entreprise de défense à partir d’octobre 2022 en obtenant des informations de courrier électronique et de mot de passe auprès d’une société tierce responsable de la maintenance des systèmes à distance de l’entreprise concernée.
Kimsuky a également accédé illégalement aux serveurs de messagerie d’une autre entreprise de défense et données technologiques téléchargées entre avril et juillet de l’année dernière, selon le NPA.
La police a pu relier les attaques à ces trois groupes sur la base des adresses IP, du code utilisé et des méthodes utilisées pour exploiter les vulnérabilités des programmes informatiques.
Quelques Les adresses IP correspondent à la ville de Shenyang, dans le nord-est de la Chine. -connus pour héberger de nombreux pirates informatiques travaillant pour ces groupes- et ont été identifiés comme étant les mêmes que ceux utilisés lors de la cyberattaque de 2014 contre l’exploitant public de centrales hydroélectriques et nucléaires de Corée du Sud, Korea Hydro & Nuclear Power.
Le NPA affirme que Les attaques se sont poursuivies jusqu’à récemmentque les entreprises n’étaient pas au courant des attaques jusqu’au début de l’enquête et que l’étendue des dégâts ne peut être estimée pour le moment.
La police sud-coréenne n’a pas non plus voulu partager le type de technologie qui aurait pu être compromise pour des raisons de confidentialité et a déclaré que le ministère de la Défense nationale et la Defense Acquisition Program Administration (DAPA) Les enquêtes se poursuivront.