La Corée du Nord a autorisé un cyber-gang parrainé par l’État à se faire passer pour des chasseurs de têtes pour tenter de voler les secrets du vaccin britannique Covid-19, ont annoncé vendredi des sources de sécurité.
Les cybercriminels ont ciblé AstraZeneca, la société pharmaceutique qui travaille avec l’Université d’Oxford pour développer le propre vaccin britannique Covid-19. Les premiers résultats suggèrent que le vaccin Oxford est entre 60% et 90% d’efficacité et les régulateurs ont maintenant été invités à l’évaluer.
Les pirates ont approché le personnel travaillant avec AstraZeneca, basé à son siège à Cambridge, avec de fausses offres d’emploi. Se faisant passer pour des recruteurs travaillant pour le compte d’entreprises rivales, les hackers ont envoyé des messages au cours des dernières semaines via le site de réseautage social LinkedIn et également via WhatsApp, le service de messagerie.
Les employés d’AstraZeneca ont ensuite reçu des documents prétendant être des descriptions de poste contenant un code informatique malveillant conçu pour permettre aux pirates d’accéder aux systèmes informatiques de l’entreprise.
Les outils et techniques utilisés par le cyber gang sont couramment déployés par la Corée du Nord et des sources de sécurité ont confirmé que le pays serait à l’origine de la tentative de piratage. Des sources ont déclaré que cette tentative aurait échoué.
Le ciblage d’AstraZeneca intervient quelques semaines à peine après que Downing Street a pris la décision inhabituelle de rendre public en accusant le Kremlin d’être à l’origine d’une cyberattaque distincte «méprisable» contre deux équipes de vaccination britanniques, celle d’Oxford et une autre dirigée par l’Imperial College de Londres .
Le National Cyber Security Center (NCSC), l’agence de renseignement chargée de protéger le Royaume-Uni de la cyberguerre, a déclaré à l’époque qu’il avait le «plus haut niveau de confiance» que le Kremlin était derrière l’attaque «en cours».
Vendredi, le NCSC a refusé de donner plus de détails sur le piratage nord-coréen, mais n’a pas nié les tentatives de l’État voyou de voler des secrets sur les vaccins.
Un porte-parole du NCSC a déclaré: «En travaillant aux côtés de nos alliés, le NCSC s’est engagé à protéger nos actifs les plus critiques, le secteur de la santé et la recherche et le développement de vaccins essentiels contre les menaces.
L’agence de presse respectée Reuters a déclaré que le gang nord-coréen avait ciblé un « large éventail de personnes », y compris le personnel travaillant sur la recherche sur Covid-19, mais ne semble pas avoir réussi.
La mission nord-coréenne auprès des Nations Unies à Genève a refusé de répondre à une demande de commentaires. Pyongyang a précédemment nié avoir mené des cyberattaques. Il n’a pas de ligne de contact directe pour les médias étrangers.
AstraZeneca, qui est devenu l’un des trois principaux développeurs de vaccins Covid-19, a refusé de commenter.
Des sources ont déclaré à Reuters que les attaques faisaient partie d’une campagne de piratage en cours que des responsables américains et des chercheurs en cybersécurité ont attribué à la Corée du Nord.
La campagne s’est précédemment concentrée sur les entreprises de défense et les organisations de médias, mais s’est concentrée sur les cibles liées à Covid-19 ces dernières semaines.
Les cyberattaques contre les organismes de santé, les scientifiques des vaccins et les fabricants de médicaments ont explosé pendant la pandémie de Covid-19 alors que les groupes de piratage étatiques et criminels se démènent pour obtenir les dernières recherches et informations sur l’épidémie.
Les responsables occidentaux affirment que toute information volée pourrait être vendue à des fins lucratives, utilisée pour extorquer les victimes ou donner aux gouvernements étrangers un avantage stratégique précieux alors qu’ils se battent pour contenir une maladie qui a tué 1,4 million de personnes dans le monde.
Microsoft a déclaré ce mois-ci avoir vu deux groupes de piratage nord-coréens cibler des développeurs de vaccins dans un certain nombre de pays, notamment en « envoyant des messages contenant des descriptions de poste fabriquées ». Microsoft n’a nommé aucune des organisations ciblées.
Les législateurs sud-coréens ont déclaré vendredi que l’agence de renseignement du pays avait déjoué certaines de ces tentatives.
Il a déjà été rapporté que des pirates informatiques d’Iran, de Chine et de Russie ont tous tenté de s’introduire cette année dans les principaux fabricants de médicaments et même dans l’Organisation mondiale de la santé. Téhéran, Pékin et Moscou ont tous nié ces allégations.
Certains des comptes utilisés dans les attaques contre AstraZeneca ont été enregistrés sur des adresses e-mail russes, a déclaré l’une des sources, dans le but de tromper les enquêteurs.
La Corée du Nord a été accusée par les procureurs américains de certaines des cyberattaques les plus audacieuses et les plus dommageables au monde. Pyongyang a décrit les allégations comme faisant partie des tentatives de Washington de salir son image.
Se faire passer pour des recruteurs sur le site de réseautage social LinkedIn est une tactique privilégiée des pirates nord-coréens cherchant à voler de l’argent et des recherches précieuses.
Les hackers liés au régime nord-coréen se font souvent passer pour des recruteurs et des cibles de messages, leur demandant de télécharger des fichiers qui, selon eux, contiennent des descriptions de poste.
Une fois téléchargés et ouverts, les fichiers contiennent en fait un code informatique qui donne aux pirates informatiques l’accès à des systèmes informatiques protégés, leur permettant de rechercher silencieusement dans les serveurs, puis de faire passer les fichiers en contrebande.
Les experts en cybersécurité ont constaté que des messages LinkedIn comme celui-ci sont généralement envoyés par le groupe de piratage Lazarus qui, en 2014, avait réussi à s’introduire dans les serveurs de Sony Pictures et, en 2017, a paralysé certaines parties du NHS lors de l’attaque du ransomware WannaCry.
L’année dernière, le groupe s’est fait passer pour des recruteurs pour des entrepreneurs de la défense et a envoyé un message aux employés britanniques d’entreprises de défense et d’aérospatiale dans l’espoir qu’ils pourraient avoir accès à des documents militaires classifiés.
