Aspect Légal Piratage

Un groupe de hackers nord-coréens à l’origine des attaques menées contre des plateformes d’échange sud-coréennes

Pirates nord-coréens

La socié­té de cyber­sé­cu­ri­té Recor­ded Future a publié une nou­velle étude dans laquelle elle accuse Laza­rus, un groupe de hackers nords-coréens, d’être à l’o­ri­gine de plu­sieurs attaques visant les pla­te­formes d’é­change sud-coréennes.

Dans une étude inti­tu­lée « North Korea Tar­ge­ted South Korean Cryp­to­cur­ren­cy Users and Exchange in Late 2017 Cam­pai­gn », les cher­cheurs de la socié­té Recor­ded Future pointent du doigt la Corée du Nord. Ils ont décou­vert que le mal­ware uti­li­sé pour s’en prendre à Coin­link, une pla­te­forme d’é­change sud-coréenne, était simi­laire à ceux uti­li­sés lors du pira­tage de Sony Pic­tures et de l’at­taque au ran­som­ware Wan­na­Cry.

Voi­ci ce que l’on pou­vait y lire :

« Cer­tains acteurs liés au gou­ver­ne­ment nord-coréen, notam­ment le Laza­rus Group, ont conti­nué de cibler des pla­te­formes d’é­change et des uti­li­sa­teurs de cryp­to-mon­naies à la fin de l’an­née 2017, avant le dis­cours de fin de d’an­née de Kim Jong-un et le réta­blis­se­ment du dia­logue entre les deux Corées. Le mal­ware s’ap­puyait sur un code com­mun à celui du mal­ware Des­to­ver, qui avait été uti­li­sé contre Sony Pic­tures Enter­tain­ment en 2014, mais aus­si contre les pre­mières vic­times de Wan­na­Cry en février 2017. »

7 millions de dollars dérobés sur la plateforme BithumbBitHumb

En février 2017, Bithumb, qui était alors la deuxième plus grande pla­te­forme au monde en termes de volumes d’é­change, avait été vic­time d’un pira­tage. Celui-ci avait cau­sé la parte de l’é­qui­valent de 7 mil­lions de dol­lars de fonds appar­te­nant à ses uti­li­sa­teurs, prin­ci­pa­le­ment en Bit­coin et en Ether.

L’é­tude publiée par Recor­ded Future rap­pelle que Pyon­gyang avait été accu­sé d’être à l’o­ri­gine de cette attaque. L’Insikt Group, un groupe de cher­cheurs en cyber­sé­cu­ri­té qui sur­veillent de très près les acti­vi­tés des pirates nord-coréens, avait révé­lé que ceux-ci avaient eu recours à une large gamme d’ou­tils (attaques de phi­shing, mal­wares,…) pour pou­voir obte­nir un accès à des comptes et à des por­te­feuilles de mon­naies numériques.

Les cher­cheurs de l’In­sikt Group avaient alors indi­qué que les pirates du Laza­rus Group avaient mas­si­ve­ment dif­fu­sé, à l’au­tomne der­nier, de nom­breux mal­wares. C’est ce qu’ils avaient décou­vert en ana­ly­sant des fichiers Han­gul Word Pro­ces­sor (l’é­qui­valent de Word), qui avaient été envoyés par e‑mail.

Attaque des hackers nord-coréens grâce au Hangul Word Processor

Lors­qu’ils étaient télé­char­gés par mégarde, ils s’ins­tal­laient de manière auto­ma­tique, et étaient lan­cés en arrière-plan. Ils pou­vaient ain­si cher­cher à obte­nir l’ac­cès aux cryp­to-mon­naies déte­nues par le pos­ses­seur du péri­phé­rique infec­té.

Voi­ci ce que les cher­cheurs de l’In­sikt Group ont ajouté :

« En 2017, les nord-coréens ont sau­té dans le wagon des cryp­to-mon­naies. La pre­mière opé­ra­tion nord-coréenne liée aux cryp­to-mon­naies remonte à février 2017, avec le vol de l’é­qui­valent de 7 mil­lions de dol­lars de mon­naies numé­riques sur la pla­te­forme d’é­change Bithumb. A la fin 2017, de nom­breux cher­cheurs avaient fait état de cam­pagnes de phi­shing contre de telles pla­te­formes, avec de nom­breux vols, mais éga­le­ment des détour­ne­ments liés au minage de Bit­coin et de Monero »

Un adversaire qui n’a pas froid aux yeux

Pirate informatiqueDepuis plu­sieurs semaines, de nom­breuses socié­tés spé­cia­li­sées dans la cyber­sé­cu­ri­té ont accu­sé des groupes de hackers de Corée du Nord de concen­trer leurs attaques sur les pla­te­formes de tra­ding de cryp­to-mon­naies sud-coréennes.

Des cherches de la socié­té FireEye ont ain­si éta­bli, en sep­tembre der­nier, la res­pon­sa­bi­li­té de groupes de pirates finan­cés par Pyon­gyang dans six cybe­rat­taques menées contre ces pla­te­formes.

Et à la fin du mois de décembre, la Korea Inter­net and Secu­ri­ty Agen­cy a lan­cé des enquêtes pour faire la lumière sur l’ex­ploi­ta­tion d’une faille de sécu­ri­té qui avait pro­vo­qué la faillite d’une pla­te­forme d’é­change locale, You­Bit.

Pour cer­tains obser­va­teurs, la res­pon­sa­bi­li­té du pays ne fait plus aucun doute. L’un des ana­lystes de FireEye, Luc McNa­ma­ra, a décla­ré à Bloom­berg que les outils uti­li­sés lors de cette attaque étaient simi­laires à ceux qu’af­fec­tion­naient les pirates nord-coréens.

Et si l’on en croit ses pro­pos, il ne s’a­git peut-être que d’un début :

« C’est un adver­saire que nous sur­veillons, et qui est très rapi­de­ment mon­té en com­pé­tence. Il ne craint pas de s’at­ta­quer à des cibles de poids. Il s’a­git véri­ta­ble­ment d’une attaque qui s’ins­crit dans une stra­té­gie plus large, qui semble avoir été ini­tiée depuis l’an­née 2016, ou peut-être avant. Ils sont par­ve­nus à déve­lop­per les com­pé­tences néces­saires – pour mener des opé­ra­tions d’es­pion­nage, dans un pre­mier temps, puis pour déro­ber des fonds ».

Réfé­rences : Coin­Te­le­graph, Joseph YoungRecor­ded Future

Rate this post
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires