L’attaque de Sony Pictures en novembre 2014 n’était pas un incident isolé. Grâce à l’utilisation de technologies développées en interne par son équipe de recherche, Blue Coat, spécialiste des technologies de cyber sécurité, a réussi à relier cette attaque à plusieurs événements destructeurs qui remontent au moins à 2009.
Bien que l’identité des auteurs soit encore inconnue, plusieurs événements antérieurs similaires ont été attribués à d’autres équipes de hackers nord-coréens. L’équipe de recherche de Blue Coat a étudié en détail un certain nombre de cyber-attaques liées, et ils ont été en mesure de relier ces événements avec des groupes de pirates connus sous le nom « DarkSeoul » et « Silent Chollima ».
Ce que Blue Coat a découvert est que, quel que soit ce groupe, il est toujours actif, et s’attaque principalement à des cibles sud-coréennes dans différents secteurs d’activité. Le dernier malware associé à cette menace complexe date apparemment de janvier 2016.
Cette recherche s’appuie sur de nombreux événements et preuves, qui ont mis en corrélation des informations en utilisant différentes techniques d’analyse, incluant notamment :
- Les méthodes de dissimulation
- La structure du code
- Les chaînes de texte, tels que les clés de chiffrement
- Localisation connue
- Code des certificats de signature numérique
Snorre Fagerland, responsable des chercheurs en sécurité informatique au sein de Blue Coat, détaille l’évolution de certains des outils les plus couramment utilisés par ces assaillants et présente des éléments sur les informations compromettantes et les tentatives de dissimulation : bluecoat.com/security-blog/2016-02-24/seoul-sony