Dans leur enquête sur l'attaque massive de vendredi dernier par le ransomware WannaCry, les chercheurs en sécurité ont trouvé des éléments qui pourraient associer le malware à un groupe de pirates nord-coréens, déjà soupçonné d’être à l’origine de cyberattaques contre des banques partout dans le monde. La preuve est loin d'être irréfutable et pourrait s'avérer peu probante. Mais les chercheurs ont remarqué une similitude entre une version antérieure de WannaCry et un outil de piratage utilisé par le groupe Lazarus.
Ce groupe, que les chercheurs en sécurité soupçonnent d’être à la solde de la Corée du Nord, est déjà lié au piratage de Sony en 2014 et à une série d’attaques récentes contre des institutions bancaires. Apparemment, une variante de WannaCry découverte au mois de février partage du code informatique avec un outil de piratage utilisé par le groupe Lazarus en 2015. Lundi, c’est le chercheur de Google, Neel Mehta, qui a le premier fait état de cette similitude, et son analyse a été confirmée depuis par d'autres experts, notamment ceux de l’entreprise de sécurité Kaspersky Lab. « Dans l’immédiat, il faut approfondir les recherches sur les anciennes versions de Wannacry », a déclaré Kaspersky Lab dans un blog. « Nous pensons que ces analyses pourraient nous fournir de précieux éléments pour résoudre certains mystères qui planent autour de cette attaque ».
Du code partagé entre WannaCry et le groupe Lazarus
Lundi, la firme de sécurité Symantec a également signalé qu’elle avait trouvé des indices qui pourraient relier WannaCry à ce groupe mystérieux. Selon Vikram Thakur, directeur technique de l'entreprise de sécurité, des versions antérieures du ransomware ont été trouvées sur des machines compromises par des outils de piratage utilisés par le groupe Lazarus. « Juste après avoir trouvé ces outils sur ces machines, nous avons vu apparaître des fichiers WannaCry », a-t-il déclaré. Cependant, tous ces échantillons WannaCry sont des variantes antérieures et différentes de celles impliquées dans l’attaque de vendredi et dans l’infection des systèmes Windows à travers le monde. « Symantec cherche à savoir si la nouvelle variante de WannaCry partage également du code avec les outils de piratage du groupe Lazarus », a déclaré Vikram Thakur.
Cependant, les chercheurs n’excluent pas qu’un pirate informatique ait volé des bouts de code de l’ancien malware associé au groupe. En effet, selon les experts en sécurité, dès que des outils de piratage sont utilisés, ils se répandent souvent sur Internet, ce qui signifie que tout le monde peut les utiliser. Vikram Thakur a encore déclaré que Symantec était en train d’estimer la fréquence du code partagé. « S’il s’avère que le code est très répandu, la probabilité que Lazarus soit impliqué dans l’attaque de WannaCry sera alors plus faible », a-t-il expliqué. « Il est également possible que les machines infectées à la fois par les outils de Lazarus et par WannaCry aient été infectées par d'autres types de logiciels malveillants », a aussi déclaré Vikram Thakur. Si c’était le cas, cela voudrait dire que différents pirates ont ciblé le même système, donnant une valeur encore plus circonstancielle à la preuve. « À ce stade de l’analyse, je pense qu’il est un peu tôt pour conclure quoi que ce soit », a-t-il déclaré. Néanmoins, les gouvernements à travers le monde cherchent toujours à savoir qui se cache derrière l'attaque de vendredi. « Il sera peut-être difficile de remonter jusqu’aux auteurs de l’attaque », a déclaré lundi Tom Bossert, conseiller à la sécurité intérieure des États-Unis, au cours d'une conférence de presse. « Cela ne signifie pas que nous n'avons aucun indice… Nos meilleurs et plus brillants analystes sont à pied d’œuvre pour le découvrir ».