L'agence de l'énergie atomique de Corée du Sud piratée

Ciblant depuis de nombreux mois des institutions, universités et agences gouvernementales de la Corée du Sud, le cybergang Kimsuky APT, originaire de Corée du Nord, a attaqué cette fois l'institut de recherche pour l'énergie atomique KAERI. Une compromission VPN est à l'origine de cet incident cyber détecté le 14 mai 2021.

La tension monte entre les deux frères ennemis coréens. Le cybergang Kimsuky APT originaire de Corée du Nord a, d'après les chercheurs en sécurité de IssueMakersLab, piraté l'institut de recherche pour l'énergie atomique KAERI en Corée du Sud. Après avoir dans un premier temps démenti cette intrusion, l'agence a finalement confirmé qu'elle avait bien eu lieu. « L'Institut coréen de recherche sur l'énergie atomique a vérifié l'historique d'accès à certains systèmes par un acteur non identifié via la vulnérabilité de son système VPN », a indiqué KAERI. « Suite à cela, l'adresse IP de l'attaquant a été bloquée et la mise à jour de sécurité du système VPN appliquée ». D'après le quotidien Yonhap, la compromission a été rendue possible en utilisant une adresse e-mail de l'ancien conseiller du président sud-coréen Moon Jae-in, Moon Chung-in, dont les pirates se sont emparée lors d'une cyberattaque attribuée à Kimsuky en 2018.

Cet incident cyber a été daté selon IssueMakersLab au 14 mai 2021 avec un total de 13 connexions malveillantes dont l'une a pu être attribuée directement à Kimsuky APT. Sans citer ce groupe de cybercriminels, KAERI a cependant précisé que, selon l'analyse en cours, son origine provient bien de la Corée du Nord. Kimsuky APT n'en est pas à son coup d'essai en termes de piratage ciblant son voisin. Un rapport de Malwarebytes, début juin, rappelait que le ministère des Affaires étrangères de Corée du Sud avait ainsi déjà été visé, tout comme de nombreux autres organismes (Université nationale de Corée du Sud, ministère du commerce, consulat de Corée du Sud à Hong Kong...).

Un cybergang actif depuis 2012

Une enquête a par ailleurs été lancée par KAERI, en lien avec les autorités compétentes, pour évaluer les impacts de ce piratage ainsi que le montant des dommages. D'après le CISA, l'équivalent américain de notre agence nationale pour la sécurité des systèmes d'information (Anssi), le cybergang Kimsuky APT est en activité depuis 2012. Ce groupe, connu aussi en tant que Velvet Chollima, Black Banshee et Thallium, s'est également fait remarquer il y a quelques mois pour avoir ciblé des chercheurs travaillant sur un vaccin contre la Covid-19.