Le Département de la Sécurité intérieure des États-Unis et le FBI publient deux alertes avec des détails techniques sur des outils et moyens utilisés par la Corée du Nord pour cibler des infrastructures critiques, les médias, le secteur de la finance ou encore de l'aérospatial aux USA et dans le monde.
Les autorités américaines soulignent notamment un serveur de commande et contrôle, le recours à plusieurs proxies pour masquer le trafic réseau, de fausses communications TLS. Un système est infecté avec un fichier téléchargé depuis un site compromis ou avec un malware.
Utilisé depuis au moins 2013, Volgmer est lui un cheval de Troie de type backdoor. Il serait diffusé par le biais de phishing ciblé. Il peut recueillir des informations sur un système, modifier des clés de registre, rapatrier divers nuisibles parmi d'autres choses.
Pour les cyberattaques, un même nom est mentionné : Hidden Cobra. Ce n'est pas la première fois que les autorités américaines chargent ce groupe qui serait lié à la Corée du Nord. Il y a par exemple déjà eu le cas d'un botnet pour mener des attaques DDoS, et potentiellement un rapport avec le ransomware WannaCry.
Pas de surprise… le gouvernement britannique a publiquement mis en cause la Corée du Nord en l'accusant d'être derrière WannaCry. Des cyberattaques qui serviraient aussi à financier le régime de Pyongyang. La Corée du Nord avait dénoncé une "spéculation sans fondement. "
Plutôt que Hidden Cobra, il est parfois fait référence au groupe Lazarus ou encore les Guardians of the Peace. Cela ramène notamment au piratage de Sony Pictures en 2014.
