Les États-Unis ont porté des accusations contre le hacker nord-coréen Rim Jong Hyok pour des cyberattaques visant des secrets de défense, a annoncé le ministère de la Justice jeudi.
Le 26 juillet, plusieurs agences ont révélé que les États-Unis avaient inculpé un hacker nord-coréen pour des cyberattaques ayant permis le vol de secrets militaires et nucléaires, tout en offrant une récompense de 10 millions de dollars pour toute information le concernant.
Rim Jong Hyok a été accusé d’avoir participé à un complot visant à « pirater et extorquer des hôpitaux et d’autres prestataires de soins de santé américains, à blanchir les fonds de rançon, puis à utiliser ces fonds pour financer d’autres intrusions informatiques dans des entités de défense, de technologie et gouvernementales à travers le monde », selon une déclaration du ministère de la Justice.
Rim et ses complices auraient travaillé pour le Bureau général de reconnaissance de la Corée du Nord au sein d’un collectif de hackers connu sous divers noms, notamment Andariel, Onyx Sleet et APT45.
Selon l’acte d’accusation, Andariel a ciblé cinq prestataires de soins de santé, quatre entrepreneurs de défense basés aux États-Unis, deux bases de l’Air Force américaine et le Bureau de l’inspecteur général de la NASA.
« Les acteurs d’Andariel ont volé des téraoctets d’informations, y compris des données non classifiées sur des employés du gouvernement américain, des informations techniques anciennes liées aux avions militaires, de la propriété intellectuelle et des informations techniques limitées concernant des projets maritimes et de traitement de l’uranium », a déclaré le ministère de la Justice.
L’opération a également infiltré des réseaux et volé des données auprès d’entrepreneurs de défense taïwanais et sud-coréens ainsi que d’une entreprise énergétique chinoise.
Andariel a pénétré les réseaux informatiques de plusieurs hôpitaux et prestataires de soins de santé américains, chiffrant les serveurs responsables des dossiers médicaux, des diagnostics et des services d’imagerie. Après les attaques, les hackers ont exigé que les victimes paient une somme pour restaurer l’accès.
Dans un cas, le groupe a envoyé une note de rançon à un hôpital du Kansas, demandant environ 100 000 dollars en Bitcoin.
« Sinon, tous vos fichiers seront publiés sur Internet, ce qui pourrait nuire à votre réputation et causer des problèmes à votre entreprise », indiquait la note. « Ne perdez pas votre temps ! Vous n’avez que 48 heures ! Après cela, le prix sera doublé. »
« L’acte d’accusation d’aujourd’hui souligne notre engagement à protéger les infrastructures critiques contre les acteurs malveillants et les pays qui les soutiennent », a déclaré Kate Brubacher, procureure des États-Unis pour le district du Kansas. « Rim Jong Hyok et ceux de son métier mettent en danger des vies humaines. Ils compromettent un traitement rapide et efficace pour les patients et coûtent des milliards de dollars aux hôpitaux chaque année. »
Le ministère de la Justice et le FBI ont également annoncé la récupération de 114 000 dollars en cryptomonnaie provenant des attaques par ransomware et des transactions de blanchiment d’argent associées, ainsi que la saisie de comptes en ligne utilisés par les complices.
La dernière localisation connue de Rim était en Corée du Nord, où il travaillait dans les bureaux du Bureau général de reconnaissance à Pyongyang et Sinuiju, selon l’acte d’accusation.
Jeudi, le département d’État américain a offert une récompense allant jusqu’à 10 millions de dollars pour des informations menant à sa localisation ou son identification.
De plus, les agences de sécurité gouvernementales des États-Unis, de Corée du Sud et de Grande-Bretagne ont publié un avis de cybersécurité décrivant les tactiques de ransomware d’Andariel et avertissant que la Corée du Nord mène une campagne d’espionnage mondiale « pour faire avancer les programmes militaires et nucléaires du régime ».
Cet avis a été coécrit par le FBI, la National Security Agency des États-Unis, les agences de cybersécurité, le National Cyber Security Center britannique et le Service national de renseignement de Corée du Sud.
« Les agences auteurs estiment que le groupe et les techniques cybernétiques représentent une menace persistante », indique l’avis.
Bien que la Corée du Nord soit soumise à de lourdes sanctions internationales, elle a de plus en plus recours au piratage et au vol de données ces dernières années pour financer ses programmes illicites de missiles et nucléaires.
Pyongyang finance 40 % de ses programmes d’armement par des « moyens cybernétiques illicites », a estimé le Panel d’experts du Conseil de sécurité de l’ONU dans un rapport annuel publié en mars. Le panel a déclaré que 58 cyberattaques suspectées contre des entreprises liées aux cryptomonnaies avaient généré environ 3 milliards de dollars pour le régime entre 2017 et 2023.
Le département du Trésor a sanctionné le Bureau général de reconnaissance en 2015, et des responsables américains avaient déjà mis en garde contre la menace des hackers nord-coréens ciblant les hôpitaux et d’autres organisations de santé avec des ransomwares.
En 2022, les forces de l’ordre américaines ont récupéré environ 500 000 dollars en paiements effectués aux hackers nord-coréens par des victimes, dont un centre médical du Kansas et un prestataire de soins de santé du Colorado.
