Le hacker à cagoule, un cliché qui perdure. Souvent utilisé par les hackers eux-mêmes pour revendiquer leurs cyberattaques. (Photo: Shutterstock)

Le hacker à cagoule, un cliché qui perdure. Souvent utilisé par les hackers eux-mêmes pour revendiquer leurs cyberattaques. (Photo: Shutterstock)

Si le volume des attaques par déni de service (DDoS) semblait, lundi de Pâques, retrouver un niveau plus «normal» après un début de week-end presque aussi chargé que la semaine précédente, d’autres attaques émergent, plus sérieuses. Et de nouveaux acteurs, liés aux renseignements turc et nord-coréen et aux Anonymous Sudan.

Les cyberattaques contre les intérêts luxembourgeois ne se sont pas vraiment arrêtées depuis la visite, le 19 mars, des ministres ukrainiens des Finances, Sergii Marchenko, de la Justice, Denys Maliuska, et de l’Économie, Taras Kachka, et les déclarations de soutien qui ont suivi. Même en retrait, la volumétrie des attaques était élevée jusqu’au lundi de Pâques et la situation semblait se calmer, reconnaissait mardi soir le Haut Comité à la protection nationale qui, à l’inverse, reste très prudent sur toute autre information.

Parce que, selon nos sources, à cette catégorie de cyberattaques ont succédé des attaques potentiellement plus problématiques: au lieu de risquer de mettre des serveurs en défaut de fonctionnement, celles-ci s’intéressent aux points faibles de différentes infrastructures et logiciels et à la manière d’extraire des données. Dans certains cas, ces cyberattaques peuvent aussi laisser des ransomwares pour plus tard.

«La cellule opérationnelle, activée par la cellule de crise conformément au plan d’intervention d’urgence (PIU) «cyber», continue à assurer le monitoring de l’évolution de la situation et adapte ses mesures d’intervention de manière à contrer les attaques. Les équipes restent donc mobilisées pour minimiser l’impact», assure le HCPN via sa porte-parole. Mais les cyberattaques ont repris à un niveau largement supérieur ce mercredi 3 avril.

S’il ne fait aucun doute que l’État, qui s’est souvent vendu comme un coffre-fort numérique et qui héberge les données de l’Estonie et celles de la Commission européenne, est préparé et réactif, il faut s’imaginer un bâton qui agiterait l’eau d’une rivière pour créer du trouble. La première salve d’attaques, autour du 21 mars, a créé du stress… et un intérêt d’autres acteurs pour des raisons diverses et variées, de prendre la lumière pour montrer leur expertise à mettre la main sur des données personnelles ou des moyens financiers.

Nés il y a un peu plus d’un an, les Anonymous Sudan n’ont rien à voir avec les Anonymous ni avec le Soudan, mais ils se sont efforcés de gommer au fur et à mesure le russe qu’ils utilisaient sur leurs canaux Telegram, où ils ont revendiqué l’attaque contre la France le 11 mars. Intégrés au réseau pro-russe Killnet, ils s’en sont pris à de nombreux acteurs en un an, de X à PayPal en passant par Netflix, Microsoft, OpenAI ou le London Stock Exchange. Ils semblent dotés de moyens financiers largement supérieurs à ceux de groupes de hackers malgré leur jeunesse.

Nouveau virus du Lazarus Group

Réputés proches du pouvoir nord-coréen depuis que des chercheurs de Google, de Microsoft, du Kaspersky Lab, de Symantec et… de la NSA ont découvert un code écrit de la même manière à plusieurs occasions, le groupe Lazarus s’est fait une spécialité de dépouiller ses victimes depuis une dizaine d’années, en utilisant de nombreuses tactiques de social engineering. En 2016, ils avaient détourné des centaines de millions de dollars de la Banque centrale du Bengladesh. Deux ans plus tard, ils seraient à l’origine de WannaCry, considérée comme la pire cyberattaque de l’histoire avec ses plus de 220.000 victimes connues dans le monde et plusieurs milliards de dollars de dégâts selon Europol. En décembre 2017, les États-Unis ont accusé la Corée du Nord d’être derrière cette attaque, ce que le pays a réfuté. Fin 2023, une étude d’Elliptic soulignait un virage: le Lazarus Group a dérobé plus de 240 millions de dollars sur des échanges de cryptos.

Ils auraient aussi adopté une nouvelle méthode avec un nouveau virus: se faire passer pour des recruteurs, entamer la conversation avec des victimes dans un contexte de recrutement jusqu’à leur proposer un défi de codage. Dans le document qu’ils envoient à leurs victimes, un nouveau malware est caché et s’appuie sur une faille de Windows (LightlessCan).

La cyberarmée turque et son goût pour les agences de sécurité

The Turk Hack Team, autoproclamé «cyberarmée turque», poursuit des buts nationalistes… mais ne dédaigne pas montrer ses talents. Le groupe s’en est pris à l’Agence française de sécurité nationale ou à sa version européenne.

Parmi ses «lettres de noblesse», une attaque contre le logiciel de surveillance français Centreon, utilisé par Thales, Total ou EDF, mais aussi ses récentes cyberattaques contre La Poste et le Crédit Agricole et dont on ignore encore la portée réelle. En début d’année, l’organisation avait indiqué avoir mis hors ligne le ministère belge de la Défense avant de lancer une attaque conjointe qui a bloqué 663 sites internet.

Articles Associés