Les États-Unis mettent en garde contre les pirates nord-coréens Hidden Cobra

Le département américain de la sécurité intérieure, le FBI et la NSA semblent tous d’accord : la Corée du Nord est à surveiller de près. Les deux premiers avertissent ainsi d’un danger lié à un groupe nommé Hidden Cobra, tandis que la troisième estime que WannaCrypt pourrait bien avoir été conçu par la dictature.

Alors même que l’enquête continue autour de WannaCrypt et que certaines sociétés de sécurité tablent sur une implication nord-coréenne, le FBI et le DHS (Department of Homeland Security) ont émis un communiqué commun – via le CERT américain – mettant en garde contre un groupe de pirates nommé Hidden Cobra. Actif depuis 2009, il est directement lié au gouvernement de la Corée du Nord.

Une communication rare, dans laquelle l’équipe de sécurité informe la population de certains vecteurs d’attaques, afin d’attirer l’attention sur des faiblesses potentielles. Hidden Cobra cherche notamment à étendre son botnet, capable de déclencher des attaques distribuées par déni de service.

Un groupe qui opère depuis années

Selon le DHS et le FBI, Hidden Cobra est donc en activité depuis au moins 2009. Les deux agences indiquent d’ailleurs que le nom est différent selon le pays dans lequel il est abordé. Il peut être ainsi connu comme Lazarus ou Guardians of Peace.

Le communiqué de l’US-CERT vise spécifiquement une famille de malwares baptisée DeltaCharlie. Elle est responsable de la constitution de plusieurs botnets, autrement dit des parcs de machines zombies. Objectif, disposer d’une force de frappe pour déclencher des attaques DDoS, qui peuvent être aussi bien une finalité qu’une couverture pour des opérations plus précises et beaucoup plus discrètes.

Selon le FBI et le DHS, Hidden Cobra a tendance à viser en priorité d’anciennes versions de Windows et celles qui ne sont pas entretenues par leurs utilisateurs. Au vu des conséquences de WannaCrypt, il n’y a pas de quoi être surpris, les failles de sécurité non colmatées étant autant d’aubaines pour s’infiltrer. Certaines en particulier ont été souvent utilisées par Hidden Cobra, notamment les CVE-2015-8651, CVE-2016-1019 et CVE-2016-4117 dans le lecteur Flash, ou encore la CVE-2016-0034 dans Silverlight. Recommandation formulée dans le communiqué : mettre à jour évidemment, voire supprimer quand ces modules ne sont pas nécessaires.

Outre les botnets, le groupe s’est souvent servi selon l’US-CERT de keyloggers (enregistreurs de frappe au clavier), d’outils d’accès à distance et de modules spécialisés dans l’effacement des traces ou données.

Le groupe Hidden Cobra/Lazarus est crédité de nombreuses attaques sur les huit dernières années, dont certaines particulièrement importantes. On lui attribue toujours par exemple le fameux piratage de Sony Studio fin 2014, ou encore plusieurs attaques DDoS massives contre la Corée du Sud, notamment en juillet 2009 et mars 2011.

Pourquoi la Corée du Nord ?

La communication du CERT américain n’a pas été faite uniquement pour prévenir d’un danger contre lequel, finalement, le grand public n’a qu’une assez vague notion. Le DHS et le FBI en profitent surtout pour fournir une longue liste d’adresses IP liées d’une manière ou d’une autre à Hidden Cobra.

Ces adresses ont été collectées dans l’enquête qui avait suivi la vaste Operation Blockbuster qui avait eu lieu en février 2016. Il s’agissait alors de DeltaCharlie et de briser un botnet capable de déclencher des attaques DDoS contre des serveurs DNS ou se focalisant sur les Network Time Protocol et Character Generator Protocol.

Il opérait alors sur les machines contaminées sous forme d’un service Windows capable d’effectuer de nombreuses actions : modification de sa configuration à la volée via des serveurs de contrôle, téléchargement d’autres malwares selon les besoins, mise à jour de ses propres binaires, démarrage et arrêt d’attaques mentionnées plus haut et bien sûr arrêt de ses activités et effacement de ses traces. Dans certains cas, DeltaCharlie est décrit comme ayant résidé sur des machines pendant « une période significative », sans toutefois préciser cette durée.

Or, tant dans les adresses IP que dans certains composants, le DHS et le FBI ont trouvé des éléments laissant penser que la Corée du Nord est impliquée. Le communiqué prend à témoin la communauté de la sécurité en publiant les adresses IP et autres informations, la recommandation étant d’intensifier la surveillance de ce pays et, pour les administrateurs concernés, d’en prendre bonne note. Des signatures réseau et des règles YARA (logiciel de détection de malwares) sont également disponibles pour inspection.

Mettre les administrateurs réseau sur le pied de guerre

Le CERT américain fournit tout une liste d’actions à prendre pour réduire la menace constituée par les techniques de Hidden Cobra. La plus importante est la mise à jour systématique des produits utilisés quand des correctifs de sécurité sont disponibles. Une règle élémentaire dont on a pu voir récemment la pertinence avec WannaCrypt.

Les responsables concernés sont également encouragés à mettre en place des listes blanches d’applications, renvoyant à l’éternel conseil, surtout en entreprise : ne laisser sur les ordinateurs que ce qui était strictement nécessaire, pour réduire la surface d’attaque. Les privilèges administrateurs ne devraient être confiés qu’au plus petit nombre possible de personnes, les réseaux devraient être segmentés en zones de sécurité, les antivirus ne devraient laisser passer que les fichiers ayant la plus haute note de réputation et la configuration des pares-feux devrait être effectuée avec soin.

Il ne s’agit que de conseils généraux, le communiqué allant plus loin, notamment pour les attaques par injection de code SQL et contre les services web.

La Corée du Nord également derrière WannaCrypt ?

Parallèlement, le Washington Post est entré en possession d’un rapport récent qui serait interne à la NSA. L’agence américaine de renseignement y afficherait des soupçons grandissants sur l’implication de la Corée du Nord dans la conception de WannaCrypt.

Même si le rapport n’est pas publié, les indications fournies par nos confrères suivent la direction d’un faisceau de preuves qui ne cesse de grandir depuis plusieurs semaines. Le chercheur Matthieu Suiche avait par exemple été parmi les premiers à noter des similarités troublantes entre WannaCrypt et le malware Contopee, attribué au Lazarus Group. Kaspersky et Symantec avaient émis des avis similaires.

Selon ce rapport, la piste de la Corée du Nord se serait récemment renforcée avec l’examen d’adresses IP utilisées par le ransomware. Or, certaines conduiraient directement à l’agence nord-coréenne de renseignement. Le lien ne peut pas être établi de manière certaine, car d’autres pirates auraient très bien pu réutiliser des parties de malwares existants. En outre, une bonne partie de WannaCrypt était basée sur les propres outils de la NSA, dérobés précédemment par les pirates de Shadow Brokers.

Selon le Washington Post, WannaCrypt pourrait avoir été une manœuvre visant à réunir des fonds pour le régime nord-coréen. Pourtant, la piètre qualité du code associée à une erreur cruciale si la rançon était payée – les données ne pouvaient pas être déchiffrées, cassant la chaine de « confiance » des victimes par effet boule de neige – laissent toujours planer des doutes sur la provenance de WannaCrypt. Actuellement, la somme récupérée ne correspondrait qu’à environ 140 000 dollars.

Jake Williams, fondateur de la société de sécurité Rendition Infosec et interrogé par nos confrères, estime que cette somme ne sera pas récupérée, à cause d’une autre erreur qui rend l’argent facilement traçable. Il avance d’ailleurs une hypothèse qui pourrait expliquer le fossé entre le « sérieux » des attaques habituelles de Lazarus et la qualité du code de WannaCrypt : une fausse manipulation pendant une phase de test, qui aurait disséminé le ransomware avant qu’il ne soit réellement prêt.