Qui est Lazarus, le groupe de pirates dont l’ombre plane sur le rançongiciel WannaCry ?
Qui est Lazarus, le groupe de pirates dont l’ombre plane sur le rançongiciel WannaCry ?
Par Martin Untersinger
L’implication du groupe de pirates dans la cyberattaque sans précédent qui a touché des dizaines de pays mi-mai semble de plus en plus probable.
QUENTIN HUGON / LE MONDE
Le 24 novembre 2014 aurait dû être une journée comme les autres au siège du puissant studio de cinéma Sony Pictures, au cœur de l’immense métropole de Los Angeles. Mais les employés sont accueillis, ce matin-là, par un squelette rouge qui grimace sur leurs écrans. « Hacked by GOP », peuvent-ils lire sur leurs ordinateurs paralysés. Tout le réseau informatique du studio est infecté par des pirates, qui avertissent : « Nous continuerons jusqu’à ce que nos demandes soient accordées. Nous avons obtenu toutes vos données internes. »
Ce qui ressemble à une plaisanterie de très mauvais goût est l’ultime étape d’une attaque informatique sans précédent : des pirates ont rôdé pendant des semaines dans le réseau de l’entreprise, dérobant et supprimant une quantité faramineuse d’informations. Films encore inédits, contrats, documents de négociations, données personnelles de célèbres acteurs ou encore correspondances internes seront ensuite postés sur Internet, aux yeux de tous.
Quelques semaines plus tard, le FBI attribue formellement cette attaque à la Corée du Nord, qui voyait d’un très mauvais œil la production par Sony Pictures d’un film parodique de son régime totalitaire. Sans vraiment convaincre la totalité des experts en sécurité informatique, l’administration américaine va jusqu’à muscler les sanctions contre Pyongyang pour protester contre ce piratage.
Sony Pictures, premier grand fait d’armes de Lazarus
Une chose est cependant certaine : ce piratage sans précédent a été commis par un groupe de pirates extrêmement compétents et impliqués depuis dans plusieurs attaques d’ampleur. Dénommé Lazarus par les entreprises qui ont, depuis, étudié son fonctionnement, il est aujourd’hui soupçonné de se cacher derrière le rançongiciel WannaCry.
L’entreprise américaine Symantec a ainsi estimé la semaine dernière qu’il était « très probable » que Lazarus ait construit ce logiciel qui a déferlé sur Internet il y a quelques jours, touchant très durement, entre autres, le système de santé britannique. Les experts s’appuient notamment sur des similarités dans le code informatique entre des versions préliminaires de WannaCry et d’outils utilisés par le passé par le groupe Lazarus.
Attribuer les attaques informatiques à telle ou telle entité est chose hasardeuse et complexe, mais les travaux menés depuis plusieurs années sur plusieurs vagues d’attaques permettent cependant de dessiner les contours de ce groupe de plus en plus actif. Il est ainsi impliqué dans une attaque visant, en 2009 et 2011, à surcharger des sites gouvernementaux et militaires sud-coréens de connexions pour en empêcher l’accès.
Quelques années auparavant, ce même groupe est soupçonné d’avoir lancé une campagne de surveillance de multiples organismes militaires sud-coréens. En 2013, les réseaux informatiques de trois chaînes de télévision et de deux banques, sud-coréennes encore, sont complètement paralysés lorsqu’un virus supprime soudainement, en plein après-midi, des milliers de fichiers. Les analyses menées par plusieurs entreprises de cybersécurité pointent, à nouveau, vers Lazarus. En 2014, c’est donc avec un mode opératoire similaire que ce groupe s’en prend à Sony Pictures.
Le plus gros casse bancaire de l’ère moderne
Déjà original par son recours au sabotage, complémentaire de ses activités d’espionnage, une nouvelle face du groupe Lazarus est découverte en 2015. Au début du mois de février, une banque sri-lankaise reçoit un ordre de virement en provenance d’un compte détenu aux Etats-Unis par la banque centrale bangladaise.
Un employé vigilant repère des anomalies et demande confirmation de ce versement auprès de la banque centrale. Celle-ci s’avère être totalement étrangère à l’opération : des pirates sont parvenus à pénétrer dans son réseau informatique et à faire en son nom des ordres de virements.
Si une grande partie d’entre eux ont pu être bloqués, 81 millions de dollars détenus par le pays d’Asie du Sud se sont évaporés. Plusieurs entreprises qui ont étudié l’attaque ont vu, à nouveau et dans ce qui est le plus gros casse bancaire de l’ère moderne, la main de Lazarus.
Ce dernier occupe une place à part dans le paysage des menaces informatiques, généralement peuplé par deux sphères aux motivations différentes : celle dont les priorités gravitent autour de l’espionnage – politique, diplomatique, économique –, souvent d’origine étatique, et les groupes criminels, davantage attirés par l’appât du gain. Lazarus emprunte aux deux catégories.
Un groupe puissant et intéressé par l’argent
S’il est difficile de conclure définitivement à l’origine étatique de ce groupe, le caractère très évolué des outils et des techniques de Lazarus intrigue les chercheurs. « Cette sophistication n’est pas quelque chose que l’on trouve généralement dans le monde cybercriminel. Elle requiert une organisation et un contrôle stricts à toutes les étapes des opérations », écrivent les experts de Kaspersky dans un long rapport consacré à Lazarus et publié au printemps.
« Si on considère que Lazarus est une émanation d’un Etat, c’est un cas unique, car les Etats ne s’intéressent pas à l’argent. Il y a eu des groupes étatiques qui se sont intéressés aux transactions bancaires, mais à des fins d’espionnage, pas pour voler », précise au Monde Vitaly Kamluk, directeur pour l’Asie-Pacifique de l’équipe de recherche de Kaspersky.
Tous les moyens étant visiblement bons pour s’enrichir, Lazarus a même, selon lui, « utilisé des ordinateurs infectés pour “miner” des cryptomonnaies » et essayé de « pirater des cybercriminels s’en prenant aux cartes de crédit ».
Kaspersky, dans son rapport, va plus loin. Selon l’entreprise basée à Moscou, une partie du groupe Lazarus serait spécifiquement dédiée aux opérations financières, destinée à ramasser de l’argent. Les banques sont naturellement parmi les principales cibles de cette unité de Lazarus, que Kaspersky appelle Bluenoroff, mais les pirates s’en prennent également à des traders ou des casinos. Selon l’entreprise, dix-huit pays au moins seraient concernés, du Brésil à l’Irak en passant par l’Inde, la Thaïlande ou le Nigeria.
L’entreprise américaine Symantec, qui a aussi documenté les activités crapuleuses de Lazarus, les a repérés rôdant dans une centaine d’organisations, essentiellement des banques, dans trente et un pays, y compris en Europe.
Un groupe discret et efficace
Davantage Arsène Lupin que bandits de grand chemin, les outils de Lazarus sont « destinés au vol invisible, sans laisser de trace ». Le groupe passe du temps à infiltrer en profondeur les systèmes informatiques des banques, opérant souvent hors des heures de bureau de l’établissement infecté, pour davantage de discrétion. C’est également pour cette raison que ce groupe fait fréquemment évoluer ses outils afin de déjouer les mécanismes de détection. « “Muter en permanence” semble être sa devise », résume encore Kaspersky.
Lazarus est, depuis quelques années, de plus en plus prudent : s’il commence une offensive par des outils basiques, pas forcément les plus performants ni les plus furtifs, il n’emploie ses logiciels les plus sophistiqués et discrets que si les résultats sont prometteurs. Il a aussi modifié sa manière d’infecter ses cibles et le code de ses outils après que des chercheurs ont pour la première fois décrit en détail ses activités, en février 2016.
Lazarus est-il derrière la vague d’infections générées par le rançongiciel WannaCry ? Plusieurs chercheurs et entreprises spécialisées ont effectivement détecté des similarités troublantes entre le code source du programme malveillant et les outils et méthodes de Lazarus. Si le soupçon est très fort, il est cependant possible que les véritables responsables aient fait en sorte de semer de faux indices pointant vers Lazarus ou qu’ils aient mis la main sur des outils théoriquement dans les mains de Lazarus.
Le code de Lazarus a-t-il pu être utilisé par un autre groupe ? « Il y a toujours la possibilité, mais pour qu’un code soit réutilisé, il doit être public, ou semi-public, et ne pas être complètement original. Or certaines parties du code de Lazarus retrouvées dans WannaCry sont très spécifiques et personnalisées », explique Vitaly Kamluk, qui se dit confiant sur l’attribution de WannaCry à Lazarus.
Un pilotage par Pyongyang ?
La question de savoir si Lazarus est effectivement piloté par Pyongyang est encore plus ardue. Le FBI, après une enquête sur le réseau de Sony Pictures avait conclu à la responsabilité de la Corée du Nord. Mais les preuves avancées étaient très minces. Non seulement l’attribution d’attaques informatiques à un Etat est techniquement très difficile, mais elle repose souvent fréquemment sur des éléments collectés par des agences de renseignement, par définition difficilement publiables sans mettre en péril leur source, qu’elle soit technique ou humaine.
« Le besoin de protéger des sources et des méthodes sensibles nous empêche de partager toutes les informations [prouvant l’implication de la Corée du Nord] », écrivait d’ailleurs le FBI en novembre 2016.
Le recours par la Corée du Nord à des capacités offensives dans le domaine informatique trouve pleinement sa place dans sa stratégie vis-à-vis du reste du monde, comme l’écrivait le think tank américain Center for Strategic and International Studies en novembre 2015 :
« Les capacités “cyber” permettent d’exploiter les vulnérabilités des États-Unis et de la Corée du Sud à une intensité relativement basse, tout en minimisant les risques de riposte ou d’escalade. Les capacités “cyber” sont des extensions logiques des opérations nord-coréennes, en temps de guerre comme de paix. »
Dans son rapport annuel publié au début du mois, le renseignement américain estimait, lui, que Pyongyang « demeurait capable de lancer des cyberattaques perturbatrices ou destructrices pour soutenir ses objectifs politiques ».