Auteur de certaines des plus grandes cyberattaques au monde, le groupe Lazarus est un collectif nord-coréen parrainé par l’Etat, actif depuis 2009. Depuis plus d’une décennie, Lazarus fait figure de l’une des plus grandes menaces de cybersécurité qui planent sur les entreprises et les Etats du monde entier. Le groupe est en effet à l’origine de cyberattaques tristement célèbres, comme celle menée contre Sony en 2O14, celle dont a fait les frais la banque du Bangladesh en 2016, ou encore la propagation du ransomware WannaCry en 2017.

Contrairement à d’autres groupes de hackers dits étatiques, Lazarus est principalement motivé par les gains financiers, l’objectif étant de stimuler la faible économie nord-coréenne. Grâce au soutien de Pyongyang, les membres de Lazarus jouissent d’une impunité quasi-totale, et ne courent aucun risque de poursuites dans leur pays d’origine.

Lazarus : le groupe de cybercriminels nord-coréen

Lazarus est un groupe de hackers pas comme les autres, en cela qu’il est quasi officiellement parrainé par la Corée du Nord. Il se distingue aussi des autres groupements de pirates informatiques, si tant est qu’on puisse les appeler ainsi, par sa « régularité » et un certain niveau de sophistication. Très souvent motivé par l’appât du gain, Lazarus serait l’auteur de plusieurs attaques graves dans le passé, notamment de nombreux types de ransomware, au premier rang desquels citons le ransomware Wannacry. Le groupe lié à l’Etat nord-coréen serait également responsable d’un vol de 80 millions de dollars dont a été victime la banque du Bangladesh. Lazarus est par ailleurs une menace constante pour la cybersécurité des entreprises de fret du voisin sud-coréen.

Cela dit, malgré toute sa prétendue sophistication, les experts estiment que Lazarus n’est pas réellement au niveau d’autres groupes de pirates informatiques parrainés par l’État. La raison à cela est que Lazarus serait vraisemblablement composé de plusieurs équipes de qualité variable. Alors que les équipes dites de pointe disposent de capacités opérationnelles ultra qualifiées, certaines activités semblent être confiées à des opérateurs de niveau inférieur. Une chose est sûre cependant : les membres du groupe Lazarus font preuve d’une formidable détermination, et c’est pour cela qu’ils ne s’arrêtent jamais avant d’avoir atteint leur objectif.

Comment procède le groupe Lazarus ?

Lazarus développe ses propres outils d’attaque et logiciels malveillants. Le groupe est par ailleurs en mesure d’utiliser des techniques d’attaque innovantes. Sa principale signature, outre les différents types de ransomwares ? Lazarus travaille de manière très méthodique et prend son temps. Les méthodes nord-coréennes visent en particulier à éviter la détection par les produits de sécurité et à rester indétectables dans les systèmes piratés aussi longtemps que possible.

En même temps, le groupe de pirates nord-coréens se distingue des autres groupes organisés en agissant de manière plus audacieuse, comme s’ils n’avaient pas peur d’être pris la main dans le sac. Il est vrai qu’ils n’ont strictement rien à craindre du gouvernement nord-coréen. Après tout, ils agissent dans l’intérêt de Pyongyang et de leur « Grand Leader ». Cela donne aux pirates nord-coréens encore plus de marge de manœuvre pour atteindre leurs objectifs que les pirates dits « étatiques » d’autres pays. Rappelons que le régime nord-coréen n’est pas ou peu sensible à la pression politique extérieure pour se conformer aux règles internationales en matière de cybersécurité. En gros, Pyongyang n’a aucune considération pour ce que les autres pays considèrent comme un comportement acceptable. On disait, jusqu’à récemment, la même chose de la Russie. Il semblerait toutefois que le pays se soit finalement rétracté sous la pression américaine, spécialement après les dernières attaques par différents types de ransomwares signées DarkSide et REvil, deux groupes russes ultra menaçants pour la cybersécurité des Etats et des organisations privées, aujourd’hui portés disparus.

Qui sont les principales victimes du groupe cybercriminel nord-coréen Lazarus ?

On ne compte plus les victimes de Lazarus. Nous vous le disions, le groupe nord-coréen serait à l’origine d’une cyberattaque qui a permis, en 2016, de soutirer 80 millions de dollars à la banque du Bangladesh. Rappelons par ailleurs que Lazarus est un cybercollectif actif depuis 2009. Son opération la plus médiatisée a eu lieu en 2014 contre Sony Pictures Entertainment. De l’aveu même de Sony, l’attaque lui aurait causé des pertes estimées à 15 millions de dollars, une somme qui a heureusement été couverte par l’assurance cybersécurité du géant nippon de l’électronique. Au-delà des pertes financières, l’opération signée Lazarus a massivement porté atteinte à la réputation de l’entreprise.

Plus globalement, on remarque que les attaques de Lazarus sont principalement dirigées vers les ennemis historiques du régime nord-coréen, en l’occurrence la Corée du Sud et les Etats-Unis. En règle générale, les différentes composantes du collectif Lazarus s’attaquent aux agences gouvernementales, aux unités de défense, aux institutions financières et aux conglomérats industriels. A partir de 2020, le groupe a commencé à s’attaquer à des entreprises de biotechnologie et des universités engagées dans la recherche Covid-19. Certains signes indiquent également que Lazarus vise le secteur des transports.