Un pirate informatique américain isolé, P4x, a perturbé l’Internet de la Corée du Nord, paralysant les sites Web gérés par le gouvernement. En outre, les activités du pirate ont interrompu le trafic de courrier électronique dans le but de venger une cyberattaque antérieure de l’État communiste contre des chercheurs américains en sécurité. Ces deux dernières semaines, les observateurs de l’Internet hautement sécurisé de la Corée du Nord ont remarqué que le pays était confronté à d’importants problèmes de connectivité. En raison de ces problèmes de connectivité, tous les sites Web de la Corée du Nord ont été mis hors ligne par intermittence.
Par exemple, le site de réservation de la compagnie aérienne Air Koryo, ainsi que le site officiel du gouvernement de Kim Jong-un, Naenara, sont tombés en panne à intervalles irréguliers. À ce moment-là, il semblait qu’au moins un des routeurs centraux qui fournissent l’accès aux réseaux du pays était inopérant. En conséquence, les connexions numériques du pays avec le reste du monde sont gravement endommagées. Selon quelques observateurs de la Corée du Nord, le pays a récemment effectué plusieurs tests de missiles. Cela indique que des hackers d’un autre pays ont lancé une cyberattaque contre le Royaume Hermite pour l’inciter à cesser de faire étalage de sa force militaire.
Qui est derrière les pannes d’Internet en Corée du Nord ?
Les perturbations actuelles d’Internet en Corée du Nord ne sont pas le résultat des activités d’une autre agence de piratage soutenue par l’État ou du US Cyber Command. Au contraire, ces pannes ont été provoquées par un pirate américain, connu sous le nom de P4x. Il est intéressant de noter qu’il a exécuté plusieurs programmes visant à perturber l’Internet de la Corée du Nord, assis dans son bureau à domicile, vêtu d’un T-shirt, d’un pantalon de pyjama et de pantoufles. De plus, il profitait de ses films Alien préférés et mangeait des snacks de maïs épicé pendant que les programmes continuaient à affecter la connexion Internet de tout le pays.
Pour rappel, les espions nord-coréens avaient piraté le hacker indépendant il y a plus d’un an. Outre P4x, d’autres chercheurs en sécurité occidentaux ont été victimes de cette campagne de piratage. Cette cyberattaque a été lancée à l’origine pour voler des informations sur les vulnérabilités des logiciels et les outils de piratage utilisés par les chercheurs en sécurité. Selon P4x, il a réussi à empêcher ces pirates de lui voler des informations précieuses. Cependant, il a déclaré à Wired qu’il n’était pas satisfait de la réponse des autorités américaines à cette attaque. En outre, il a admis que le fait d’être personnellement visé par des pirates parrainés par l’État était déconcertant.
Un hacker américain décide de faire sa propre déclaration
Il a fallu environ un an pour que son ressentiment s’apaise. P4x a estimé que prendre les choses en main était la bonne chose à faire. « S’ils ne voient pas que nous avons des dents, ça va continuer », a déclaré le hacker à Wired. En outre, il a même montré des enregistrements d’écran à la publication, vérifiant qu’il était derrière les attaques. Cependant, il n’a pas voulu utiliser son vrai nom afin d’éviter des représailles ou des poursuites. « Je veux qu’ils comprennent que si vous vous en prenez à nous, cela signifie qu’une partie de votre infrastructure va tomber en panne pendant un certain temps », a déclaré P4x.
Au grand dam de la Corée du Nord, le pirate affirme avoir découvert une myriade de vulnérabilités non corrigées dans les systèmes du pays. Il affirme en outre que ces vulnérabilités ont joué un rôle essentiel en lui permettant de lancer à lui seul des attaques par déni de service sur les serveurs et les routeurs de la Corée du Nord. Certains des réseaux Internet du pays dépendent fortement de ces serveurs et routeurs. Cependant, il n’a pas révélé publiquement les vulnérabilités susmentionnées, qui, selon lui, peuvent permettre au gouvernement nord-coréen d’éviter ses attaques.
Néanmoins, le hacker a donné l’exemple d’un bug dans le logiciel de serveur web NginX. Il s’agit d’un bogue connu qui ne traite pas correctement certains en-têtes HTTP. En conséquence, le serveur exécutant ce logiciel est mis hors ligne. Par ailleurs, P4x affirme avoir découvert des versions « anciennes » d’Apache, un logiciel de serveur web. Le hacker américain dit qu’il est en train d’inspecter le Red Star OS. Pour ceux qui l’ignorent, Red Star OS est le système d’exploitation de la Corée du Nord. En plus d’être vieux, l’OS est une version plus vulnérable de Linux. En fait, un rapport d’Extreme Tech le considère comme « oppressif ».
Comment P4x a planifié son attaque sur le système de la Corée du Nord ?
Selon le hacker américain, ses attaques sur les systèmes nord-coréens sont largement automatisées. En outre, il affirme que des scripts exécutés périodiquement l’aident à déterminer quels systèmes restent en ligne, puis à lancer des exploits pour les mettre hors ligne. « Pour moi, cela correspond à la taille d’un pentest de petite à moyenne envergure », explique le pirate. En outre, le hacker utilise une forme abrégée pour « test de pénétration », le comparant au whitehat hacking qu’il a effectué auparavant pour trouver des vulnérabilités dans le réseau de son client. P4x admet qu’il était assez facile d’avoir un effet là-dedans.
Bien que relativement simples, ces méthodes de piratage se sont avérées très efficaces. Si l’on en croit les enregistrements du logiciel suédois de surveillance de sites Web Pingdom, un nombre important de sites Web nord-coréens étaient hors service pendant le piratage de P4x. Cependant, à plusieurs reprises, des sites d’information comme Uriminzokkiri.com sont restés ouverts, simplement parce qu’ils sont basés en dehors de la Corée du Nord. Junade Ali, chercheur en cybersécurité, surveille l’Internet nord-coréen. Il dit avoir détecté ce qui ressemble à des attaques de masse sur l’internet nord-coréen, qui ont commencé il y a deux semaines.
Trouver qui est derrière ces attaques
Bien qu’Ali ait suivi de près les attaques, il n’a pas pu déterminer qui était derrière elles. Néanmoins, il a été témoin de la défaillance de routeurs clés pour la Corée du Nord à plusieurs reprises, mettant hors service l’accès aux sites Web, au courrier électronique et à d’autres services Internet du pays. Une fois les routeurs en panne, Ali explique que le routage des données vers la Corée du Nord serait impossible. En outre, il estime que les résultats sont « effectivement une panne totale d’Internet affectant le pays ». Selon P4x, ses attaques n’ont pas déconnecté l’accès sortant de la Corée du Nord à l’Internet.
Il est inconcevable qu’un seul pirate informatique puisse provoquer une panne d’Internet d’une telle ampleur. En outre, on ne sait toujours pas comment les attaques ont affecté le gouvernement nord-coréen. Martyn Williams, chercheur pour le projet 38 North du Centre Stimson, affirme que seules quelques personnes en Corée du Nord ont accès aux systèmes fonctionnant sur Internet. Il ajoute qu’un nombre considérable de Nord-Coréens n’ont accès qu’à l’intranet déconnecté du pays. En dehors de cela, il affirme qu’un grand nombre de sites que P4x fait tomber à plusieurs reprises servent idéalement à la propagande. Ces sites sont principalement destinés à des fonctions qui visent un public international.
Dans quelle mesure les attaques menées par P4x affectent-elles la Corée du Nord ?
En frappant les sites nord-coréens, qui ont certainement affecté quelques officiels du régime, Williams affirme que les hackers qui ont ciblé les hackers américains, dont P4x l’année dernière, sont probablement basés en Chine et dans d’autres pays. En fait, Williams affirme que si P4x veut cibler ces personnes, il devrait envisager de dévier son attention vers le bon endroit. Toutefois, si l’objectif du hacker américain est simplement d’ennuyer la Corée du Nord, alors il est en train de le faire.
Il convient également de mentionner ici que P4x dit qu’il considère le fait d’ennuyer la Corée du Nord comme un succès. En outre, il affirme qu’il n’avait pas prévu de cibler la population du pays qui n’a pas accès à Internet. Selon P4x, son objectif était d’affecter le gouvernement autant que possible, sans affecter la population. En outre, il compare ses attaques au fait de causer autant de dégâts que de défigurer des bâtiments ou de « déchirer les bannières du gouvernement ». Cependant, P4x affirme que le but de son piratage est de trouver des vulnérabilités.
P4x recrute d’autres hacktivistes
Ce pirate américain se prépare à pirater les systèmes nord-coréens afin de voler des informations qui pourraient être utiles aux experts. En plus de cela, il veut recruter d’autres hacktivistes pour le rejoindre. Pour permettre ce recrutement, P4x a lancé lundi un site Web obscur, baptisé FUNK Project, c’est-à-dire « FU North Korea ». Il sera intéressant de voir si le site Web l’aide à trouver d’autres hacktivistes. La description du site FUNK Project est la suivante : « Il s’agit d’un projet visant à garder la Corée du Nord honnête ».
Le site incite les gens à faire la différence, ajoutant qu’ils effectueront des attaques proportionnelles pour recueillir des informations. Grâce à ces activités, ils prévoient d’empêcher la Corée du Nord de pirater les pays occidentaux sans se faire remarquer. En outre, P4x dit qu’il a l’intention d’envoyer un message aux gouvernements nord-coréen et américain par le biais de ses efforts d’hacktivisme. Selon le hacker, l’une des raisons pour lesquelles il mène des cyberattaques contre la Corée du Nord est de mettre en évidence ce qu’il considère comme un manque de réaction du gouvernement américain face au piratage de personnes américaines par la Corée du Nord. « Si personne ne m’aide, je vais m’aider moi-même », explique-t-il.
La cyberattaque de la Corée du Nord contre P4x et d’autres pirates informatiques
L’année dernière, P4x a été frappé par des espions de la Corée du Nord. En janvier 2021, un collègue pirate lui a envoyé un fichier contenant un outil d’exploitation. Peu de temps après, il est tombé sur un article du blog TAG (Threat Analysis Group) de Google concernant des pirates nord-coréens ciblant des chercheurs en sécurité. Lorsque P4x a examiné l’outil de piratage qu’un inconnu lui a envoyé, il a découvert qu’il contenait une porte dérobée permettant de prendre pied à distance sur son PC. Cependant, il avait ouvert cet outil de piratage dans une machine virtuelle qui lui permettait d’isoler le fichier de son système.
Néanmoins, il a été choqué et indigné après avoir réalisé que la Corée du Nord l’avait ciblé. Bien que le FBI ait pris contact avec lui par la suite, F4x affirme qu’il n’a reçu aucune aide pour déterminer les dommages causés par le piratage de la Corée du Nord. De même, il affirme n’avoir reçu aucune aide réelle qui lui aurait permis de se protéger contre d’autres attaques de ce type. Comme si cela ne suffisait pas, aucune enquête ouverte n’a été menée sur les pirates informatiques qui l’ont pris pour cible. En outre, l’agence américaine n’a même pas reconnu officiellement que la Corée du Nord était à l’origine de l’attaque.
L’absence de réaction du gouvernement américain
Ce manque de réaction de la part du gouvernement américain lui a donné l’impression « qu’il n’y a vraiment personne de notre côté ». Dans une déclaration concernant sa réponse à l’attaque nord-coréenne contre les chercheurs en sécurité américains, le FBI a déclaré à Wired qu’il s’appuie à la fois sur le secteur public et le secteur privé lorsqu’il s’agit de signaler des intrusions et des activités suspectes. En outre, le FBI affirme qu’il fait équipe avec les secteurs public et privé pour comprendre ce qui se passe et s’assurer que cela n’arrive pas à d’autres. En outre, le FBI n’hésite pas à demander des comptes aux responsables.
Réponse de Px4 aux attaques dont il a été victime
Après avoir été la cible d’un cyberespionnage parrainé par l’État, P4x a commencé à travailler sur plusieurs autres projets. Cependant, même après un an, le gouvernement fédéral n’a pas publié de déclarations publiques ou privées concernant les attaques contre les chercheurs en sécurité. En outre, l’agence américaine n’a offert aucune forme de soutien. P4x a donc décidé de prendre les choses en main et de faire une déclaration non seulement à la Corée du Nord mais aussi à son propre pays. Cependant, les autres hackers et les victimes des attaques nord-coréennes ne pensent pas que P4x utilise la bonne méthode pour faire cette déclaration.
L’ancien hacker de la NSA et fondateur de la société de sécurité Immunity, Dave Aitel, a également été la cible de la même campagne d’espionnage. Cependant, il n’est pas sûr que l’approche de P4x pour se venger soit productive. Selon Aitel, P4x pourrait finir par interrompre des efforts de renseignement plus furtifs pour cibler les mêmes ordinateurs nord-coréens. « Je ne voudrais pas perturber les véritables efforts de renseignement occidentaux qui sont déjà en place sur ces machines », dit-il. « En supposant qu’il y ait quelque chose de valeur là-bas », explique Aitel.
Les Etats-Unis échouent-ils à protéger les individus ?
Néanmoins, les réflexions d’Aitel sur le manque de réaction du gouvernement à la campagne nord-coréenne rejoignent l’opinion de P4x. Selon Aitel, aucune des agences gouvernementales n’a pris contact avec lui. De plus, il accuse l’Agence de cybersécurité et de sécurité des infrastructures d’être responsable de ce manque d’action. Aitel a poursuivi en disant que les États-Unis font un excellent travail en termes de protection du gouvernement, un travail moyen lorsqu’il s’agit de protéger les entreprises. En revanche, ils ne parviennent pas à protéger les individus.
De plus, il pense que la plupart des chercheurs en sécurité qui ont été la cible de ces attaques ont un accès important aux vulnérabilités des logiciels. En plus de cela, ces chercheurs ont probablement eu accès au code d’outils et d’autres réseaux d’entreprise qui pourraient conduire au « prochain SolarWinds. » Dans une déclaration à Wired, un porte-parole de la CISA a expliqué que l’agence ne néglige aucun effort pour soutenir la communauté de la cybersécurité en termes de traque et de protection contre les acteurs dangereux de la cybermenace.
Comment la CISA gère-t-elle les cyberattaques ?
En outre, la CISA exhorte les chercheurs victimes de telles cyberattaques à prendre contact avec le gouvernement américain. Ils pourront leur offrir une assistance en conséquence. Néanmoins, P4x affirme que son piratage vise principalement le régime des Kim. Selon le hacker américain, le gouvernement nord-coréen abuse des droits de l’homme en contrôlant complètement sa population. Il admet que ses actions violent probablement les lois américaines sur la fraude informatique et le piratage. Cependant, P4x insiste sur le fait qu’il ne fait rien qui soit éthiquement mauvais. « Ma conscience est claire », affirme-t-il.
Enfin, P4x a apporté plus de lumière sur les objectifs finaux de ses cyberattaques sur l’infrastructure internet nord-coréenne. « Le changement de régime. Non, je plaisante », a-t-il noté. Il ajoute qu’il veut prouver quelque chose. À propos de la fin de ses cyberattaques, le hacker dit vouloir prouver son point de vue avant de décider d’y mettre fin.
