Tout Ce Que Vous Devez Savoir Sur le Bureau 121
Bureau 121 est l’unité de piratage de premier plan de la Corée du Nord. L’unité militaire d’élite de hackers opère sous le Bureau Général de Reconnaissance, ou RGB, l’agence d’espionnage secrète nord-coréenne.
La croyance est que les opérations cybernétiques du Bureau constituent un moyen rentable pour la Corée du Nord de maintenir une option militaire asymétrique et un moyen de collecter des renseignements. Ses principales cibles de renseignement sont la Corée du Sud, le Japon et les États-Unis. De plus, la Corée du Nord utiliserait ses capacités de guerre cybernétique pour l’espionnage et soutiendrait sa propagande.
L’Unité cible différents secteurs, y compris les fabricants pharmaceutiques, les institutions de recherche, les institutions financières, les entreprises informatiques, les organisations gouvernementales et les principales entreprises de biotechnologie. Son objectif principal est de mener des activités destructrices et d’espionnage contre les réseaux et systèmes ciblés dans le monde entier.
Bureau 121 possède quatre principales unités subordonnées, le Groupe Andariel, le Groupe Bluenoroff, un Régiment de Guerre Électronique et le Groupe Lazarus.
Brève histoire du Bureau 121
Depuis la création du Bureau 121 dans les années 1980, il s’est rapidement développé depuis 1998. Une partie de l’unité est parfois connue sous le nom de DarkSeoul Gang. Bien que la Corée du Nord reste l’un des pays les plus pauvres, elle investit beaucoup dans le Bureau 121. L’unité compte environ 6 000 membres et est la seule organisation nord-coréenne à opérer hors de ses frontières. Le Bureau 121 mène des opérations pour extorquer de l’argent à des organisations du monde entier par diverses tactiques.
La force cybernétique militaire de la Corée du Nord compterait entre 3 000 et 6 000 personnes travaillant au sein du Bureau 121, dans le Bureau général de reconnaissance de la nation reclusive. Ses réalisations les plus notables sont les attaques contre des banques et des médias sud-coréens qui les ont forcés à se déconnecter pendant plusieurs jours en 2013.
Le RGB (Reconnaissance General Bureau) est la principale agence de renseignement militaire de la Corée du Nord. Le Bureau 121, aux côtés du RGB, est prétendument responsable de l’attaque rançongiciel WannaCry en 2017, de l’attaque cybernétique de 2014 contre Sony Pictures Entertainment, et de nombreux cybercrimes. On estime que le RGB contrôle plus de 6 000 pirates informatiques soutenus par plus de 1 000 membres du personnel technique.
Le RGB aurait sélectionné à la main les membres du Bureau121 en fonction de leur aptitude au piratage et à l’informatique. Les gens craignent ce groupe de hackers dans le monde entier en raison de leur capacité à infiltrer et à désactiver des organisations commerciales, des institutions financières et des systèmes militaires.
Bureau 121 se spécialise dans le sabotage et l’espionnage à l’étranger. Cela inclut la cyber-guerre, les attaques physiques contre des personnels clés, et même le chantage envers des transfuges qui ont fui la Corée du Nord pour l’Occident. Pour mener une « guerre secrète », le Bureau 121 agit pour saboter ou espionner les ennemis de Pyongyang.
Attaques présumées réussies du Bureau 121
Bureau 121 a lancé une série d’attaques, notamment pendant ses années actives. Il serait responsable d’attaques dans les secteurs privé et public de différents pays.
Sony Pictures
En novembre 2014, un groupe de pirates a attaqué Sony Pictures Entertainment. Ils ont obtenu un accès non autorisé au réseau de l’entreprise et ont piraté les informations privées et les disques durs des gens. Les pirates ont exigé que Sony retire le film « The Interview ». La violation de données a eu de grandes répercussions. Des informations personnelles et des salaires, des emails de l’entreprise, ainsi que des films, des plans et des scripts non publiés ont été piratés. De plus, plusieurs films non sortis ont été divulgués en ligne, y compris « Fury », « Annie » et « Mr. Turner ». L’infrastructure informatique de Sony a également été détruite.
Le FBI a enquêté, et le gouvernement américain a pointé du doigt la Corée du Nord.
En plus de voler des informations sensibles du studio de cinéma et de les publier pour que le public y ait accès, les pirates ont également mis hors ligne de nombreux systèmes informatiques de SPE — y compris les emails.
Lors du piratage, l’organisation a demandé à Sony d’abandonner son film alors à venir « The Interview » – une comédie sur un complot d’assassinat contre le leader nord-coréen Kim Jong-un – et a menacé de frappes terroristes sur les cinémas diffusant le film. Après que de nombreuses grandes chaînes de cinémas américaines ont choisi de ne pas projeter « The Interview » en réponse à ces menaces, Sony a annulé la première officielle du film et sa sortie en grande pompe, optant pour passer directement à une sortie numérique téléchargeable suivie d’une sortie en salle limitée le lendemain.
La décision de Sony d’annuler la distribution en salles de « The Interview » a entraîné d’énormes pénalités financières. Cependant, la réputation du studio de cinéma avait déjà subi un coup majeur.
Le gouvernement américain a conclu que le gouvernement nord-coréen était derrière l’attaque, mais il n’a jamais fourni publiquement de preuves pour étayer de telles allégations. Néanmoins, des entreprises de sécurité privées ont découvert des indices qui pointent vers le Bureau 121.
Banque SWIFT
En 2015/2016, une série de cyberattaques exploitant le réseau bancaire SWIFT a été révélée, réussissant à voler des millions de dollars. Elle a été attribuée au gouvernement nord-coréen, et si cela avait été confirmé, cela aurait été le premier cas connu de cybercriminalité sponsorisée par un État.
Cependant, les experts soupçonnent que le groupe de hackers Lazarus Group (une filiale du Bureau 121) est responsable de crimes de haut profil tels que le piratage de Sony Pictures, le vol à la Banque du Bangladesh, et plusieurs autres cyberattaques dans le monde entier.
Les pirates ont utilisé des logiciels malveillants et des e-mails de phishing pour infiltrer les systèmes bancaires et détourner les comptes cibles de haute valeur. Si l’attribution à la Corée du Nord était confirmée, cela aurait été la première instance d’une entité étatique utilisant des cyberattaques pour voler des fonds. Les pirates ont utilisé des logiciels malveillants sophistiqués et des messages de spear-phishing pour accéder aux réseaux bancaires. Ils ont ensuite manipulé les messages SWIFT pour transférer des fonds.
Le gouvernement nord-coréen aurait donné pour instruction à ses cyberpirates de cibler des banques dans quelque 18 pays. C’était dans le but de lever des fonds pour contourner les sanctions internationales.
La communauté internationale a sanctionné la Corée du Nord pour ses essais de missiles balistiques et nucléaires. Cela signifie, bien sûr, que la nation ermite est coupée des banques internationales. Pour contourner cela, les experts croient que les responsables nord-coréens ont envoyé des pirates informatiques pour cibler des banques dans environ 18 pays. Les pirates ont reçu pour instruction de voler autant d’argent que possible par des moyens frauduleux afin que le gouvernement nord-coréen puisse l’utiliser pour financer ses programmes militaires.
Les attaquants ont exploité de nombreuses vulnérabilités dans les systèmes bancaires des banques membres. Cela leur a permis de prendre le contrôle des identifiants SWIFT des banques. Les voleurs ont ensuite utilisé ces identifiants pour envoyer des demandes de transfert d’argent SWIFT à d’autres banques. De là, ils ont transféré l’argent vers des comptes contrôlés par les pirates, en faisant confiance à l’authenticité des messages.
Attaque par rançongiciel WannaCry
En mai 2017, des ordinateurs dans le monde entier ont été attaqués par un rançongiciel connu sous le nom de WannaCry. La cyberattaque a utilisé une vulnérabilité logicielle prétendument identifiée par l’Agence Nationale de Sécurité (NSA) des États-Unis et publiée par l’organisation de hackers The Shadow Brokers un mois auparavant.
Les cyberattaquants ont chiffré des données et exigé des paiements de rançon en la cryptomonnaie Bitcoin. L’attaque cybernétique par le rançongiciel WannaCry a été un important « signal d’alarme » numérique qui ciblait les ordinateurs et les réseaux fonctionnant sous le système d’exploitation Windows. De plus, le logiciel malveillant s’en prenait aux systèmes plus anciens qui utilisaient encore une faille développée par la NSA des États-Unis, que The Shadow Brokers avaient volée et divulguée.
Le ransomware s’est répandu à travers le monde, infiltrant les ordinateurs équipés d’anciens systèmes d’exploitation Windows et chiffrant les fichiers. Il a semé le chaos dans les hôpitaux au Royaume-Uni, chez FedEx aux États-Unis, et bien d’autres victimes à l’échelle mondiale. De nombreux utilisateurs ont perdu l’accès à leurs fichiers pendant ces attaques et n’ont pu le récupérer qu’après avoir payé la rançon en bitcoin.
Cependant, de nombreux correctifs étaient disponibles depuis six mois avant l’attaque. À la mi-2024, toutes les versions prises en charge avaient corrigé les vulnérabilités. Néanmoins, cela représentait toujours une menace pour ceux qui utilisaient des systèmes non corrigés ou non pris en charge tels que Windows XP. Cela suggère qu’il y avait un manque de « rétro-ingénierie » pour inspecter le malware inconnu en scannant ses décrypteurs et en examinant ses codes malveillants dès la découverte initiale.
L’attaque a commencé en mai 2017 et n’était pas un événement isolé. Elle a infecté plus de 230 000 ordinateurs dans plus de 150 pays, avec des pertes de plus de 4 milliards de dollars dès son premier jour. Les procureurs fédéraux des États-Unis ont déclaré le lendemain que la Corée du Nord était à l’origine de l’attaque.
Attaque en Corée du Sud
Aux alentours du 20 mars 2013, une cyberattaque présumée de la Corée du Nord a causé à trois stations de télévision sud-coréennes et à une banque la perte de leurs terminaux informatiques dans un acte présumé de cyberguerre.
Environ 19 000 ordinateurs et serveurs de grands diffuseurs et banques sud-coréens ont été affectés.
KBS, MBC et YTN ont diffusé un écran vide pendant environ 15 minutes. Les banques—Shinhan, Nonghyup et Jeju Bank—n’ont également pas pu fonctionner après que l’attaque a gravement compromis leurs réseaux informatiques. De plus, de nombreux distributeurs automatiques étaient hors service, rappelant que des infrastructures critiques telles que les systèmes bancaires sont susceptibles aux cyberattaques.
Toutes les organisations affectées étaient connectées à un réseau commun, ce qui implique que les pirates ont probablement ciblé une faiblesse dans ce réseau. Les attaquants se sont apparemment concentrés sur l’effacement complet des fichiers plutôt que de demander une rançon. Il n’est actuellement pas clair comment le groupe a procédé ou qui en était responsable. Les attaques ont eu lieu vers 20 heures le 20 mars et ont été maîtrisées après 17 heures.
Des codes malveillants ont été diffusés sur les ordinateurs des utilisateurs via des vulnérabilités de navigateurs ou de pages web. Le code était activé uniquement lorsque certains sites web étaient consultés. Il menait l’attaque en supprimant des fichiers sur les disques durs.
Les disques durs des ordinateurs des principales stations de diffusion et des banques en Corée du Sud ont été systématiquement effacés, ce qui a affecté 32 000 ordinateurs. Les attaquants ont supprimé les fichiers les plus critiques de trois KBS, MBC et YTN. Cela a également affecté deux banques — Shinhan Bank et Jeju Bank. L’attaque est considérée comme une attaque synthétique parrainée par un État qui a utilisé plusieurs souches de logiciels malveillants différentes. Bien que la Corée du Nord ait été largement soupçonnée d’être l’agresseur, aucune détermination officielle n’a été faite.
Conclusion
Bureau 121 est une organisation nord-coréenne top-secrète composée de hackers experts. Ils ont été accusés d’avoir piraté des banques internationales et diverses entreprises ces dernières années. Bureau 121 recherche des prodiges traditionnels. Le groupe recrute principalement des jeunes et les forme pour devenir des hackers exceptionnels. Ils les envoient à travers le monde pour semer le chaos chez leurs ennemis.