Pour continuer à développer son arsenal en dépit des sanctions, le pays de Kim Jong Un est allé se servir directement sur les serveurs de son voisin du sud.
D'après le Service de renseignement national (NIS) de la Corée du Sud, des pirates nord-coréens se sont récemment attaqués à au moins deux entreprises spécialisées dans les semi-conducteurs.
Le service du gouvernement a révélé quelques détails sur les méthodes employées par les hackers : ils ont eu recours à des attaques LotL (Living off the Land). Leur particularité, c'est qu'elles ne reposent pas sur des fichiers infectés et ne nécessitent pas de déployer du code malveillant. À la place, l'attaquant utilise des outils qui sont déjà présents sur le système informatique de la victime.
Dans l'écosystème Windows, ces attaques exploitent généralement des vulnérabilités d'outils de gestion tels que PowerShell, ou Windows Management Instrumentation (WIM), pour injecter des données directement dans la mémoire vive ou le registre. Ces attaques LotL sont notoirement difficiles à détecter puisque les défenseurs ne peuvent pas s'appuyer sur les techniques traditionnelles, comme la recherche de signatures numériques associées à des programmes malveillants.
La cyberguerre, une spécialité nord-coréenne
Cette attaque intervient dans un contexte particulier où le pays de Kim Jong Un semble déterminé à faire passer son industrie militaire à la vitesse supérieure. La Corée du Nord est un peu sortie du collimateur de la communauté internationale depuis le début de l'invasion de l'Ukraine. Mais elle continue discrètement sa marche en avant, notamment en ce qui concerne le développement de satellites, de missiles et d'autres types d'armes de nouvelle génération.
Pour avancer en dépit de son isolement politique, de son économie faiblarde et de ses capacités industrielles plus que limitées, le Nord mise donc sur l'espionnage et le piratage. Cette tactique a rencontré un certain succès ces dernières années. Selon Reuters, Pyongyang aurait dérobé plus de trois milliards de dollars en cryptomonnaies depuis 2016 à travers une soixantaine de piratages pour alimenter son programme nucléaire.
L'industrie des semi-conducteurs ciblée
Mais ses ambitions se heurtent à un autre problème majeur : le manque de semi-conducteurs et d'expertise dans ce domaine. L'objectif de ces nouvelles attaques était donc de piller des informations sensibles sur les techniques de fabrication des semi-conducteurs, une technologie qui revêt une importance stratégique énorme aujourd'hui. La Corée du Sud est une cible particulièrement alléchante à ce niveau. C'est un domaine dans lequel elle excelle, notamment grâce à des poids lourds comme Samsung et Hynix.
Les services de renseignement du Sud s'attendaient donc à ce que leurs voisins du Nord passent à l'offensive afin de faire main basse sur ces précieuses informations. Ils avaient appelé les acteurs de cette industrie à renforcer leur sécurité - mais ça n'a pas empêché les pirates de passer entre les mailles du filet. Le NIS explique que pirates ont réussi à s'infiltrer dans les serveurs d'au moins deux entreprises spécialisées dans les semi-conducteurs, et plus spécifiquement dans la production d'équipements utilisés par les fabricants de puces.
Ils y ont dérobé des schémas techniques qui décrivent le fonctionnement de ces machines. Ce butin pourrait permettre à la Corée du Nord de commencer à produire ses propres semi-conducteurs. « Nous pensons que la Corée du Nord pourrait se préparer à produire ses propres semi-conducteurs, car elle éprouve des difficultés à s'en procurer à cause des sanctions », explique le NIS cité par Reuters.