Le groupe de pirates Lazarus, soupçonné d’entretenir des liens avec la Corée du Nord, est très probablement à l’origine de la cyber-attaque basée sur le virus WannaCry à l’échelle mondiale. Voilà ce qu’affirme l’éditeur américain de logiciels antivirus Symantec. Précédemment déjà, certains indices menant à Lazarus avaient été découverts, mais des experts en cyber-sécurité avaient émis des doutes à ce propos.
Pyongyang a déjà démenti tout lien avec l’attaque informatique. Le logiciel malfaisant avait abouti sur des centaines de milliers d’ordinateurs et en avait crypté les fichiers. Les hackers exigèrent le paiement d’une rançon en bitcoins pour rendre ces fichiers de nouveau accessibles.
Symantec estime que le rançongiciel (ransomware) affiche quelques caractéristiques typiques d’autres attaques lancées par Lazarus, notamment le piratage en 2014 de Sony Pictures et le vol de quelques millions de dollars à la banque centrale du Bangladesh en 2016.
Symantec ne mentionne certes pas les éventuels liens du groupe avec la Corée du Nord, mais l’entreprise explique qu’une version précédente de WannaCry fut utilisée dans un petit nombre d’attaques au cours des trois mois ayant précédé le vaste cyber-attaque qui débuta, elle, le 12 mai. “Une analyse a montré de grandes ressemblances dans les instruments, techniques et infrastructures utilisés avec des attaques précédentes de Lazarus”, déclare-t-on chez Symantec.
Ce n’est pas la première fois que WannaCry est lié à Lazarus. Précédemment déjà, Kaspersky, BAE Systems et même Symantec avaient trouvé des indices dans ce sens. Mais des experts en sécurité comme Kurt Berghs mettent pour leur part en doute la participation de Lazarus dans l’attaque WannaCry.
L’amateurisme dont ont fait preuve les auteurs de Wannacry, ne correspond, selon eux, pas à la réputation de Lazarus. En comparaison avec d’autres agressions perpétrées par le collectif de hackers, trop d’erreurs ont cette fois été commises, comme par exemple la présence d’un ‘kill switch’ dans WannaCry. Et lorsque le ransomware a pu établir une connexion avec une adresse web spécifique, le processus de cryptage a été interrompu. En enregistrant tout simplement ce nom de domaine, l’attaque WannaCry fut en grande partie enrayée.
La façon de faire ne cadre pas non plus directement avec celle de la Corée du Nord. La Chine, un partenaire très proche de la Corée du Nord, fut en effet l’une des principales victimes du rançongiciel. Il ne semble pas y avoir non plus de raison pour laquelle un pays s’occuperait de collecter quelques centaines de milliers de bitcoins au moyen d’un ransomware. Il convient donc d’attendre encore pour voir si les nouveaux indices de Symantec s’avéreront exacts ou non.
