APT37 (Reaper) : une autre cybermenace nord-coréenne

Le par  |  2 commentaire(s)
Kim-Jong-un-ordinateur

FireEye s'inquiète de l'évolution d'un groupe de cyberespionnage. Dénommé APT37 ou Reaper, il serait à la solde de la Corée du Nord.

Selon un rapport de l'entreprise de cybersécurité américaine FireEye (PDF), un autre groupe de " hackers d'élite " agit avec le soutien de Pyongyang et serait principalement basé en Corée du Nord. Baptisé APT37 ou Reaper, il serait actif depuis au moins 2012.

hackerAPT37 était jusqu'à présent plus discret que le groupe Lazarus ayant des liens avec le régime nord-coréen et qui est largement accusé de l'attaque contre Sony Pictures en 2014, le vol de 81 millions de dollars à la Banque Centrale du Bangladesh en 2016, ou encore d'être derrière la cyberattaque WannaCry en 2017.

D'après FireEye, APT37 est responsable de cyberattaques ayant visé la Corée du Sud, mais a augmenté la portée de ses opérations en 2017 pour viser également le Japon, le Vietnam et le Moyen-Orient. Aérospatiale et défense, automobile, finance, éducation, médias, opérateurs.. sont autant de secteurs ciblés.

La mission principale de Reaper serait le cyberespionnage pour des intérêts stratégiques (militaires, politiques et économiques) de la Corée du Nord. Les malwares employés par APT37 n'ont toutefois pas toujours pour seul objectif d'exfiltrer des données, une charge utile a ainsi pu être destructrice.

Depuis au moins novembre 2017, le groupe a exploité une vulnérabilité 0day dans Adobe Flash Player pour distribuer un malware. Cette faille a été comblée en urgence par Adobe en début de mois. La suspicion se tournait du côté de la Corée du Nord, alors que Cisco Talos avait déjà évoqué la responsabilité d'un groupe dénommé Group 123, un autre nom pour APT37.

Pour FireEye, une vulnérabilité 0day représente en tout cas " un niveau de sophistication technique. " Cela n'évite pas les impairs. Suspecté d'être un développeur de codes malveillants pour APT37, un individu a par inadvertance divulgué des données personnelles montrant un agissement depuis une adresse IP et point d'accès associés à la Corée du Nord.

Il existe un risque que APT37 évolue de la même manière que Lazarus. Le cyberespionnage initial se transformerait alors en cyberattaque plus globale avec d'autres finalités.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2001804
Faudrait commencer par sécher le p'tit péteux rondouillard...
Le #2001821
... ou se torcher le cul avec toutes les news qui disent que tous les maux du monde viennent de Syrie ou de Corée du Nord.
Suivre les commentaires
Poster un commentaire
Anonyme