Le gouvernement américain a mis la main sur un serveur utilisé par un groupe de hackers nord-coréen

Des représentants du gouvernement américain ont saisi un serveur qui aurait été utilisé par des pirates nord-coréens dans plusieurs attaques informatiques lancées en 2018. Le gouvernement l’a, par la suite, remis à des experts en sécurité pour analyse.

Apparemment, ce serveur a été utilisé dans une campagne de piratages appelée Opération Sharpshooter qui a ciblé des organismes gouvernementaux, des entreprises de télécommunications et même des collaborateurs du ministère de la Défense. L’attaque a eu lieu pour la première fois en décembre 2018.

Pour ce faire, les hackers avaient envoyé un fichier Word contenant un malware qui, une fois ouvert, exécutait une macro qui téléchargeait un autre malware, dénommé Rising Run, qui permettait aux pirates de voler les données de leur cible.

Le serveur offre plusieurs indices pour mener une enquête approfondie

Le gouvernement avait principalement suspecté le groupe Lazarus, un groupe de pirates informatiques soupçonné de travailler pour le compte de la Corée du Nord. Néanmoins, aucune preuve n’a pour l’instant, permis de confirmer ces soupçons.

Toutefois, l’éditeur de logiciel McAfee a déclaré que l’existence du lien pourrait bientôt être prouvée.  En effet, Christiaan Beek, le chercheur et l’ingénieur principal chez McAfee a déclaré que l’analyse du serveur a permis d’avoir de précieuses informations qui ont fourni plus d’indices pour mener une enquête.

L’Opération Sharpshooter aurait pu faire encore plus de victimes

De plus, l’analyse du code du serveur a permis à McAfee de découvrir que l’opération Sharpshooter avait pu être lancée depuis septembre 2017 et qu’elle ciblait plusieurs pays et secteurs, notamment des infrastructures et services financiers aux États-Unis, en Europe et au Royaume-Uni.

Les chercheurs en sécurité ont aussi relevé que le serveur avait été écrit dans les langages PHP et ASP qui sont utilisés pour concevoir des applications Web et des sites internet. Autrement dit, le serveur était à la fois facile à administrer et très évolutif.

En tout cas, cette initiative du gouvernement de confier l’analyse du serveur aux mains et yeux experts de McAfee vise à permettre aux autorités gouvernementales de mieux comprendre les menaces liées à la Corée du Nord qui est déjà soupçonnée d’avoir orchestré plusieurs piratages informatiques. Notamment, l’attaque de Sony en 2016 et l’épidémie de ransomware WannaCry en 2017, sans compter les actes de piratages menés à l’encontre des entreprises mondiales.

Mots-clés sécurité