1/5
Des pirates informatiques soutenus par l’État nord-coréen ont créé des documents d’apparence officielle faisant référence à la tragédie de l’écrasement de la foule d’Halloween à Séoul dans le but d’envoyer des logiciels malveillants aux utilisateurs en Corée du Sud, a déclaré le groupe d’analyse des menaces de Google dans un nouveau rapport.
Le groupe de pirates, connu sous le nom d’APT37, a intégré un logiciel malveillant dans un document Microsoft Word qui semblait être un rapport du gouvernement sud-coréen sur la catastrophe qui a tué 158 personnes dans le quartier d’Itaewon à Séoul le 29 octobre.
“Cet incident a fait l’objet de nombreux reportages et le leurre profite de l’intérêt généralisé du public pour l’accident”, a déclaré mercredi le groupe d’analyse des menaces dans un rapport.
L’attaque a exploité une vulnérabilité zero-day dans Internet Explorer, a déclaré l’équipe de sécurité de Google.
Zero-day, ou 0-day, fait référence à une faille de sécurité dans un logiciel encore inconnue des développeurs. Le groupe APT37 a déjà tenté des attaques similaires, note le rapport.
“Ce n’est pas la première fois qu’APT37 utilise les exploits 0-day d’Internet Explorer pour cibler les utilisateurs”, indique le rapport. “Le groupe a toujours concentré son ciblage sur les utilisateurs sud-coréens, les transfuges nord-coréens, les décideurs politiques, les journalistes et les militants des droits de l’homme.”
Les États-Unis ont averti plus tôt cette année que les pirates informatiques soutenus par la Corée du Nord intensifient leurs attaques contre une gamme de cibles allant des plates-formes de crypto-monnaie aux hôpitaux.
Un groupe d’experts de l’ONU qui surveille les sanctions a rapporté en mars que la Corée du Nord recourait au piratage informatique pour accéder à des technologies sensibles et générer des fonds pour ses programmes illicites d’armes nucléaires et de missiles balistiques.
Plusieurs utilisateurs en Corée du Sud ont téléchargé le document Microsoft Word, intitulé “221031 Seoul Yongsan Itaewon accident response situation (06 :00).docx”, sur un site Web d’analyse de virus appartenant à Google. Le groupe d’analyse des menaces a déclaré avoir immédiatement signalé la vulnérabilité à Microsoft, qui a publié un correctif le 8 novembre.
Jeudi, le gouvernement sud-coréen a mis en garde les entreprises contre l’embauche involontaire de travailleurs nord-coréens des technologies de l’information sous une identité déguisée.
“Le personnel informatique nord-coréen vit à l’étranger et déguise sa nationalité et son identité pour recevoir des emplois d’entreprises informatiques du monde entier, gagnant des centaines de millions de dollars en devises étrangères chaque année”, a déclaré le gouvernement dans un avis inter-agences.