Lazarus est-il le groupe de hacker le plus puissant de la planète ?

Les origines du groupe Lazarus ?

Le groupe Lazarus fait son apparition sur la scène cybercriminelle en 2007. Ses premières activités étaient principalement axées sur des opérations de vol de données sensibles, hameçonnage et de piratage divers. 

À l’époque, Lazarus opérait essentiellement en Asie de l’Est. Ils ciblaient des institutions financières, des entreprises et des organisations gouvernementales.

Rien que sur l’année 2023, on estime le montant total de leurs méfaits à 500 millions de dollars en cryptomonnaie !

Ils sont parfois appelés : 

• APT38
• Guardians of Peace
• ZINC
• Whois Team
• Hidden Cobra

Les sous groupes chez Lazarus

L’organisation compte également des sous-catégories qui se concentrent sur des types d’attaques et de cibles spécifiques : “Bluenoroff” et “Andariel”.

Bluenoroff est spécialisé dans les attaques financières et les activités liées aux services financiers. Il a été identifié pour la première fois en 2014.

Andariel est un sous-groupe spécialisé dans les opérations de cyberespionnage et les activités de piratage ciblant surtout la Corée du Sud. Le groupe a été découvert pour la première fois en 2015.

Pourquoi “Groupe Lazarus” ?

“Lazarus” fait référence au personnage biblique revenu d’entre les morts : “Lazare de Béthanie”. C’est dans l’évangile de Jean que Jésus ressuscite ce dernier, mort depuis 4 jours.

Il faut y voir ici une allégorie de la force, de la détermination et de la persistance du groupe vis-à-vis de leurs activités criminelles. 

Qui se cache derrière le groupe Lazarus ?

Lazarus est grandement soutenu par le gouvernement nord-coréen. En effet, les enquêtes ont révélé que certaines opérations étaient coordonnées à partir d’adresses IP localisées en Corée du Nord. Le groupe est considéré comme un outil important par Pyongyang. 

Ils permettent à la République populaire démocratique de Corée de gagner beaucoup d’argent, de mener des opérations de renseignement et de faire pression sur les ennemis du parti.

Les complices de Lazarus n’ont jamais revendiqué leurs liens avec le régime. 

Il est extrêmement compliqué de savoir précisément qui sont les membres actifs de ce groupe d’hacktiviste ainsi que leur nombre. En revanche, selon le FBI, Park Jin Hyok, Jon Chang Hyok et Kim Il seraient très impliqués dans le réseau de hackers.

Un rapport publié en septembre 2021 par les services de renseignement britanniques, estime que plus de 6 000 hackers sont associés à cette structure ! Mais ils ne sont pas tous basés en Corée du Nord ou l’accès internet y est très limité. Lazarus est soupçonné d’avoir des satellites en Chine, en Russie, en Inde, ainsi qu’en Malaisie.

Qu’est-ce qui motive ces pirates informatiques ?

Le champ d’action du groupe Lazarus n’est pas uniquement économique. Le vol d’argent est pour eux un moyen puissant de porter un coup à leurs ennemis. Leur principale motivation est politique !

La cybercriminalité est considérée par le régime comme l’un des moyens les plus faciles de stimuler son économie tout en infligeant un maximum de dommages à ses ennemis.

Le gouvernement nord-coréen a un besoin crucial d’argent pour financer ses ambitions nationales, telles que le développement de missiles et d’armes nucléaires. Les opérations de piratage menées par ces hors la loi visent à générer des revenus illicites pour soutenir ce genre de programmes militaires.

Les pirates informatiques de Lazarus sont formés et hautement compétents. Ils utilisent des techniques avancées pour mener à bien leurs opérations. Ces activités illégales permettent à Pyongyang de contourner les sanctions internationales.

Il est important de noter que le groupe ne se limite pas seulement à des motivations politiques et économiques. Ils peuvent également chercher à obtenir des avantages géopolitiques, à perturber leurs adversaires ou à diffuser de la propagande, utilisant ainsi la cybercriminalité comme un outil de pouvoir et d’influence.

Quel est leur mode opératoire ?

Les membres de Lazarus déploient un éventail de techniques de pointe dans leurs cyberattaques. Nous pouvons notamment citer : le spear-phishing, l’exploitation de vulnérabilités, le développement de logiciels malveillants, l’utilisation de botnets, etc.

Ils maîtrisent l’ingénierie sociale. Ils exploitent les réseaux sociaux et les plateformes comme LinkedIn ou WhatsApp à la perfection. Cela leur permet de tromper leurs cibles et les inciter à installer des fichiers malveillants, virus et autres.

Ces tactiques subtiles et ciblées font de Lazarus l’un, si ce n’est le plus grand groupe de hackers de la planète.

Les dates clé

Voici un panel des plus grosses opérations du groupe :

• 2009 : “L’Opération Troy” marque le début des offensives du groupe. Cette attaque DDOS (attaque par déni de service) a ciblé uniquement la Corée du Sud. Elle a provoqué une saturation des serveurs et a rendu inaccessible des sites gouvernementaux, des médias et des institutions financières, etc.

• 2011 : Lazarus lance une attaque majeure contre la banque sud-coréenne Nonghyup, paralysant ses systèmes informatiques et causant d’importantes perturbations. Cela a entraîné des répercussions financières considérables pour l’entreprise ainsi que des pertes substantielles. Cette attaque a illustré la capacité du groupe Lazarus à cibler des institutions financières et à infliger des dommages à leurs infrastructures et à leurs activités.

• 2013 : attaque contre des médias sud-coréens, provoquant la paralysie de plusieurs sites web et la destruction de données.

• 2014 : le groupe a mené une attaque contre Sony Pictures Entertainment pour la sortie du film “The Interview”. Ce dernier se moquait du régime et de Kim Jong-un. Les hackers ont volé des données sensibles sur les employés de Sony, notamment des informations personnelles. De plus, des scénarios de films non publiés ont été compromis et des copies de plusieurs d’entre eux ont été divulguées sur Internet. Cette attaque a eu un impact majeur sur l’entreprise, provoquant des dommages financiers, une perturbation des opérations et une atteinte à la réputation. Elle a également attiré l’attention sur les capacités du groupe en matière de cyberattaques et sur sa volonté de réagir violemment à des contenus jugés offensants envers le gouvernement nord-coréen.

• 2016 : les hackers ont tenté de dérober un montant d’un milliard de dollars à la banque centrale du Bangladesh. Cependant, leur tentative a été contrecarrée de justesse. Malgré cela, les cybercriminels ont réussi à s’emparer de 81 millions de dollars ! L’attaque a été réalisée en utilisant des techniques de phishing et des logiciels malveillants pour compromettre le réseau de la banque et effectuer des transferts de fonds frauduleux vers des comptes à l’étranger.

• 2017 : le groupe est lié à l’attaque du ransomware WannaCry, qui a infecté 300 000 ordinateurs dans plus de 150 pays, causant d’importantes perturbations. Cette cyberattaque est considérée comme le plus grand piratage de l’histoire d’Internet. Une rançon en Bitcoin devait être payée pour récupérer ces données.

• 2022 : ils sont responsables de l’attaque contre le bridge Ronin utilisé par le jeu Axie Infinity. Les pirates dérobent l’équivalent de 620 millions de dollars en Ethereum.

• 2023 : attaque du bridge Horizon et vol d’environ 100 millions de dollars de crypto.

Comment lutter contre ces hackers ?

La communauté internationale, les entreprises et les institutions gouvernementales doivent rester vigilantes face à cette menace persistante. La coopération et le partage d’informations entre les pays sont essentiels pour contrer leurs attaques et renforcer la cybersécurité mondiale.

L’existence du groupe Lazarus est un rappel de la nécessité d’être sur nos gardes face aux menaces émergentes dans notre monde ultra connecté. 
Seule une approche globale peut espérer contenir cette organisation cybercriminelle et continuer à protéger nos infrastructures numériques ainsi que notre sécurité collective.