La Corée du Nord serait derrière l’attaque WannaCry

Alors que les entreprises sont encore en train de panser leurs plaies et de patcher leurs baies (de serveurs), les chercheurs en sécurité se sont d’ores et déjà lancé sur les pistes des auteurs. Qui se cache derrière cette terrible attaque de ransomware qui a infecté plus de 200.000 ordinateurs dans plus de 150 pays ?

Un indice technique semble pointer vers un acteur bien connu de la piraterie, à savoir le groupe Lazarus. Le chercheur en sécurité Neel Mehta a découvert un même morceau de code dans un malware spécifiquement utilisé par Lazarus et dans un exemplaire de WannaCry. Une analyse qui a été confirmée par les chercheurs de Kaspersky. Théoriquement, il pourrait s’agir là d’un leurre pour mettre les chercheurs sur une fausse piste, mais l’éditeur estime que c’est « improbable », car ce bout de code a bizarrement disparu dans les versions ultérieures.  

Pour leur part, les chercheurs en sécurité d’Intezer ont trouvée des similitudes avec d’autres outils de piratage (Joanap, Brambul) qui ont été utilisés par des hackers supposés nord-coréens dans des attaques contre la Corée du sud.

Tout cela reste insuffisant pour désigner le Corée du Nord comme le responsable de l’attaque WannaCry. Le faisceau d’indices est encore trop léger. « Pour l’instant, il faut faire davantage de recherches au niveau des anciennes versions de WannaCry. Nous pensons que cela permettrait de révéler certains mystères sur cette attaque », souligne Kaspersky.

La gueule de l’emploi

En tous les cas, le groupe Lazarus aurait parfaitement le profil pour réaliser ce type d’attaque. Ces pirates étaient à l’origine du sabotage de Sony Pictures qui s’est déroulé fin 2014 et que le gouvernement américain a attribué au régime de Pyongyang.
Selon Kaspersky, Lazarus était également l’auteur des multiples pillages bancaires par faux ordres de virement en 2016. L’une des victimes était la banque centrale du Bangladesh qui a vu 81 millions de dollars partir en fumée.