L'entreprise de sécurité informatique Symantec vient de publier les avancées de son enquête sur l'attaque au ransomware WannaCry. Après avoir fait preuve d'une grande prudence, elle estime désormais que l'implication des hackers nord-coréens du Lazarus Group, à l'origine du piratage de Sony en 2014, est « très probable ».

Après avoir redoublé de prudence, au début de son enquête, pour évoquer les possibles liens entre le groupe de hackers nord-coréens Lazarus Group et l’attaque au ransomware WannaCrypt (ou WannaCry), qui a infecté plus de 200 000 ordinateurs dans 150 pays, Symantec se montre désormais bien plus affirmatif.

« Les outils et l’infrastructure utilisés dans l’attaque […] entretiennent des liens importants avec Lazarus, le groupe responsable des attaques destructrices contre Sony Pictures et le vol de 81 millions de dollars à la banque centrale du Bangladesh. […] Il est très probable que Lazarus soit derrière WannaCry » explique ainsi la firme.

Toutefois, l’entreprise tient à écarter la piste d’une opération commanditée par un État — alors que la Corée du Nord a justement nié toute responsabilité en dépit de l’existence d’une cellule de renseignement dédiée au hacking : « Malgré les liens avec Lazarus, [l’attaque] WannaCry ne porte pas la marque d’une campagne menée par un État mais plutôt celle d’un cybercrime. » Il est toutefois à noter que Symantec n’a pas pour habitude d’accuser directement des gouvernements : son équipe ne réfute pas la thèse selon laquelle Lazarus aurait agi pour le compte de la Corée du Nord.

Lignes de code et adresse IP similaires

Outre la présence de multiples lignes de code similaires dans différentes versions de WannaCry et les précédentes opérations du groupe de hackers, Symantec appuie son affirmation sur le fait que la même connexion Internet a été utilisée pour installer la première version de WannaCry et pour accéder à l’un des outils qui avait permis de détruire des fichiers chez Sony en 2014. Le piratage massif du studio avait notamment entraîné la publication de mails internes aux informations sensibles, mais aussi la mise en ligne de films encore attendus en salle.

Symantec liste plusieurs autres éléments potentiellement à charge : « Après la première attaque WannaCry en février [la première version du ransomware], trois éléments de malware liés à Lazarus ont été découverts sur le réseau de la victime : Trojan.Volgmer et deux variantes de Backdoor.Destover, l’outil effaçant les données d’un disque dur qui avait été utilisé pendant les attaques contre Sony. »

L’entreprise poursuit : « Trojan. Alphanc, utilisé pour propager WannaCry au cours des attaques de mars et d’avril, est une version modifiée de Backdoor.Duuzer, qui avait déjà été relié à Lazarus. »

Partager sur les réseaux sociaux