Ces chercheurs en sécurité ont remonté la piste des hackers de Sony Pictures

Est-ce que vous vous souvenez du terrible piratage de Sony Pictures ? Fin 2014, des hackers s’étaient introduits dans les systèmes informatiques du studio, sabotant les ordinateurs et volant une grande quantité de données personnelles qui se sont ensuite retrouvées sur le Web. Une catastrophe médiatique et financière dont on pensait d’abord qu’elle était l’œuvre d’un employé mécontent ou d’un groupe d’activistes. Le 19 décembre 2014, le FBI avait finalement accusé publiquement le gouvernement de la Corée du Nord, sans jamais pour autant apporter de preuves.

Un nouveau rapport qui s'appuie sur l'analyse de milliers d'exemplaires de malwares semble désormais corroborer cette hypothèse. Réalisée par treize entreprises de sécurité – dont Novetta et Kaspersky - ce document révèle que derrière les pirates de Sony Pictures se cache un groupe de hackers professionnels. Baptisé "Lazarus", il sévit un peu partout sur la planète depuis au moins 2009, et probablement même depuis 2007. 

Lazarus cible tous les secteurs économiques : organisations gouvernementales, finance, média, divertissement, militaire, aéronautique, industriel… Et il a créé un arsenal informatique impressionnant, composé d’au moins 45 familles de malwares : des logiciels d’espionnage, des bombes logiques, des outils d’exfiltration de données, des chevaux de Troie, etc. Ces différents éléments excluent définitivement la théorie de l'insider ou du groupe de hacktivistes, car ils ne pourraient pas avoir les ressources nécessaires pour ce type d'activité.

Mais faut-il voir pour autant la Corée du Nord derrière tout cela? Les chercheurs en sécurité ne s'aventurent pas dans une accusation officielle, mais livrent plusieurs indices qui pointent bien dans cette direction.

Dans le passé, beaucoup d'attaques ont ciblé des institutions sud-coréennes. La langue coréenne se retrouve dans plus de 60 % des fichiers de malware retrouvés. Les dates de compilation des malwares indiquent que les pirates sont basés dans les fuseaux horaires GMT+8 ou GMT+9 dans lesquelles se situe la Corée du Nord.

Enfin, les deux plus grandes attaques du groupe Lazarus ont ciblé la Corée du Sud et les Etats-Unis, que la Corée du Nord considère comme ses principaux ennemis. Pour mémoire, la première de ces attaques d'envergure a été la campagne d'espionnage et de sabotage baptisée "DarkSeoul" (2009-2013) qui a ciblé des institutions financières et des médias sud-coréens. La deuxième est donc le piratage de Sony Pictures (2014).

"Bien que notre analyse ne permette pas de prouver l'implication directe d'un Etat-nation ou d'un autre groupe spécifique, en raison de la difficulté de l'attribution dans le domaine de la cybercriminalité, les revendications officielles du FBI pourraient être soutenus par nos résultats", expliquent prudemment les chercheurs dans leur rapport.

Ce qui, dans le petit monde de la cybersécurité où les traces sont facilement contrefaites, peut faire figure de doigt accusateur...