Corée du Nord : ça va être touuuut noiiiiir

north

AVERTISSEMENT : Si après la lecture de ce billet, il vous passait par la tête de plonger dans le noir la Corée du Nord, pensez plutôt à l’impact ridicule de ce type d’action et mettez la en perspective avec le fait de trouver un moyen de faire en sorte que les nords coréens puissent accèder à Internet. Méditez ceci : « les gens qui se parlent ne se font pas la guerre ».

Il y a déjà bien deux ans de ça, je m’intéressais avec l’ami @fo0_ au tout petit bout d’Internet Nord Coréen. Les internautes n’y sont pas légion. Le pays a d’ailleurs son propre réseau IP renfermé sur lui même (non relié à Internet, il est plutôt une sorte de gros intranet national ultra surveillé), le Kwangmyong. Aujourd’hui, avec les frasques de Kim Jong Un, les regards du monde entier se braquent sur la Corée du Nord. Avec la perspective d’un conflit armé, et les menaces d’un conflit thermonucléaire, on imagine mal une intervention qui ne soit pas accompagnée d’une attaque informatique dans les règles.

La Corée du Nord est soupçonnée d’avoir mené une attaque informatique d’envergure sur la Corée du Sud le 20 mars dernier. Cette attaque aurait paralysé de nombreux sites dont ceux de grands médias nationaux (KBS, MBC et YTN) ainsi que des sites bancaires. Ce sont au total plus de 30 000 machines qui ont été victimes de cette attaque que Séoul soupçonne orchestrée par le Bureau général de reconnaissance de la Corée du Nord. S’il semble à en croire Séoul que la Corée du Nord a bien une cyber doctrine offensive, le pays semble cependant très vulnérable à des attaques qui pourrait paralyser le peu d’infrastructures dépendant du réseau Internet.

Relativisons tout de suite. La Corée du Nord ne semble pas avoir d’infrastructures « vitales » qui dépendent du réseau Internet (du moins de ce qu’on peut en voir, de ce qui est public). Il est aussi probable que les infrastructures offensives nord coréennes ne soient même pas situées sur son territoire.

Allons donc visiter ce réseau pour voir ce que ça peut donner en terme défensif… et vous allez vite comprendre que ce n’est pas brillant.

L’IANA a donné à la Corée du Nord quelques IPv4. Elles se situent sur les plages :

  • 175.45.176.0/24
  • 175.45.177.0/24
  • 175.45.178.0/24
  • 175.45.179.0/24

Tous les sites sur ces plages IP sont des sites gouvernementaux ou apparentés. Les noms de domaines en .kp (l’extension de la Corée du Nord) sont eux aussi tous plus ou moins directement liés au gouvernement nord coréen.

Lors de mes tests, 14 machines répondaient sur le range 175.45.176.1/24. Il s’agit des IP :

  • 175.45.176.3
  • 175.45.176.6
  • 175.45.176.8
  • 175.45.176.9
  • 175.45.176.10
  • 175.45.176.12
  • 175.45.176.15
  • 175.45.176.16
  • 175.45.176.65
  • 175.45.176.67
  • 175.45.176.70
  • 175.45.176.71
  • 175.45.176.129
  • 175.45.176.131

C’est d’ailleurs le range le plus intéressant. Outre le fait que les nord coréens semblent être des grands fans de CentOs, sur ces 14 machines, au moins 10 d’entre elles comportent des vulnérabilités critiques. C’est cette plage qui accueille l’une des deux IP de KCNA, le site de la Korean Central News Agency (KCNA.kp) et qui distile la propagande de Pyongyang. Le host nous indique ces 2 adresses IP :

  • kcna.kp has address 175.45.177.74
  • kcna.kp has address 175.45.176.71

La machine 175.45.176.71 présente une version du serveur web Apache qui n’est pas à jour et semblant vulnérable aux CVE suivants :

… et pas mal d’autres…

On trouve ensuite des serveurs DNS sur les IP

  • 175.45.176.8
  • 175.45.176.9
  • 175.45.176.15
  • 175.45.176.16

Ces 4 machines présentent une version de Bind outdatée (une 9.8.1), vulnérable à une tripotée de dénis de service :

La machine 175.45.176.8 est le NS1 des sites suivants :

Capture d’écran 2013-04-13 à 22.37.05

La machine 175.45.176.9 est le NS2 des sites suivants :

Capture d’écran 2013-04-13 à 22.30.00

La machine 175.45.176.15 est le NS1 des sites suivants (ici c’est surtout sur les sous-domaines que l’on trouve des sites) :

Capture d’écran 2013-04-13 à 22.39.49

La machine 175.45.176.16 est le NS2 des sites suivants (toujours sur des sous-domaines):

Capture d’écran 2013-04-13 à 22.39.49

A en croire ce que nous avons sous les yeux, et à en croire cette requête Google, frapper ces 4 machines mettrait dans le noir tout ce qui porte une extension en .kp… et comme ces 4 machines présentent toutes les vulnérabilités mentionnées un peu plus haut, nous pouvons décemment conclure qu’il est redoutablement simple de plonger tous les sites nord coréens dans le noir le plus total.

Conclusion : les DNS sont le talon d’Achille de la Corée du Nord. L’internet Nord Coréen ne survivrait pas 5 minutes à l’attaque d’un script kiddie. L’infrastructure DNS de tout le pays repose sur 4 serveurs dont la version de Bind est trouée. La moindre attaque informatique sur cette pseudo infrastructure virerai à la déculottée et à l’humiliation pour Pyongyang.

Je reviendrai probablement plus tard sur la Corée du Nord et sur les firewalls « nationaux » (sous FreeBSD) qui eux aussi présentent toutes les qualités d’un bon emmental Suisse mais aucune de ce que l’on attend d’un firewall décent…

25 réponses sur “Corée du Nord : ça va être touuuut noiiiiir”

  1. Impressionnant !
    Comment se fait-il alors qu’un pays capable d’attaquer les infrastructures d’un pays développé ne soit même pas capable de protéger ses propres infrastructures d’un script kiddie ?

      1. Oui, c’est vrai que l’attaque venait d’une IP chinoise. Ca serait peut-être d’ailleurs intéressant de le préciser dans la news.

        1. Et bien à en voir les « lignes de défense », je doute de la capacité de la Corée du Nord à pouvoir mener sérieusement une attaque d’envergure sur un pays.

          1. Le désaveu officiel des autorités chinoises a semblé mettre un terme au bellicisme de Pyongyang ces derniers jours. La Chine teste sans doute ses compétences en guerre électronique via la Corée du Nord, comme l’a suggéré Mike. Peut-être est-elle une espèce de laboratoire stratégique?

  2. Nom de Zeus !
    J’ai du mal à croire tout ça …
    Ça serait pas un honeypot à script kiddies ? Histoire qu’ils puissent crier haut et fort qu’ils se sont fait attaqués par les « occidentaux » et balancer des bombes un peu partout ? Ok, c’est tiré par les cheveux mon idée mais là … je suis abasourdi.
    C’est tellement gros que j’espère que c’est juste un poisson d’avril en retard 😉

  3. C’est bien intéressant tout ça, mais aussi risqué, sachant qu’il faut tout simplement qu’un des nombreux cons du monde passe sur cet article, exploite les failles données, et coupe l’accès aux domaines en .kp, sans en avoir la moindre chose à foutre des éventuelles répercussions.

    1. En fait je n’ai pas tout dit dans cet article, il y a un autre détail d’importance lié à la connectivité du pays (ou plutôt son absence de connectivité) : il suffirait à la Chine d’appuyer sur un bouton pour couper tout le Net nord coréen.

      1. Oui, il est tout neuf. Pour les pads, je ne savais pas. Intéressant.

        Pour ce qui est de la Corée du Nord, de son internet vermoulu et des attaques envers la Corée du Sud, n’oublions pas l’hypothèse également d’une attaque sous fausse bannière (ce ne serait pas une nouveauté) destinée à jeter encore un peu plus l’opprobre sur le pays.
        Attaque qui pourrait émaner d’un pays occidental : USA ou allié « aux ordres ».
        La guerre se prépare, et se poursuit, toujours par une guerre de communication pour avoir l’assentiment des peuples en occident, et éviter les contestations. Syndrome Vietnam.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.