La société de cybersécurité Recorded Future a publié une nouvelle étude dans laquelle elle accuse Lazarus, un groupe de hackers nords-coréens, d’être à l’origine de plusieurs attaques visant les plateformes d’échange sud-coréennes.
Dans une étude intitulée « North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign », les chercheurs de la société Recorded Future pointent du doigt la Corée du Nord. Ils ont découvert que le malware utilisé pour s’en prendre à Coinlink, une plateforme d’échange sud-coréenne, était similaire à ceux utilisés lors du piratage de Sony Pictures et de l’attaque au ransomware WannaCry.
Voici ce que l’on pouvait y lire :
« Certains acteurs liés au gouvernement nord-coréen, notamment le Lazarus Group, ont continué de cibler des plateformes d’échange et des utilisateurs de crypto-monnaies à la fin de l’année 2017, avant le discours de fin de d’année de Kim Jong-un et le rétablissement du dialogue entre les deux Corées. Le malware s’appuyait sur un code commun à celui du malware Destover, qui avait été utilisé contre Sony Pictures Entertainment en 2014, mais aussi contre les premières victimes de WannaCry en février 2017. »
7 millions de dollars dérobés sur la plateforme Bithumb
En février 2017, Bithumb, qui était alors la deuxième plus grande plateforme au monde en termes de volumes d’échange, avait été victime d’un piratage. Celui-ci avait causé la parte de l’équivalent de 7 millions de dollars de fonds appartenant à ses utilisateurs, principalement en Bitcoin et en Ether.
L’étude publiée par Recorded Future rappelle que Pyongyang avait été accusé d’être à l’origine de cette attaque. L’Insikt Group, un groupe de chercheurs en cybersécurité qui surveillent de très près les activités des pirates nord-coréens, avait révélé que ceux-ci avaient eu recours à une large gamme d’outils (attaques de phishing, malwares,…) pour pouvoir obtenir un accès à des comptes et à des portefeuilles de monnaies numériques.
Les chercheurs de l’Insikt Group avaient alors indiqué que les pirates du Lazarus Group avaient massivement diffusé, à l’automne dernier, de nombreux malwares. C’est ce qu’ils avaient découvert en analysant des fichiers Hangul Word Processor (l’équivalent de Word), qui avaient été envoyés par e‑mail.
Lorsqu’ils étaient téléchargés par mégarde, ils s’installaient de manière automatique, et étaient lancés en arrière-plan. Ils pouvaient ainsi chercher à obtenir l’accès aux crypto-monnaies détenues par le possesseur du périphérique infecté.
Voici ce que les chercheurs de l’Insikt Group ont ajouté :
« En 2017, les nord-coréens ont sauté dans le wagon des crypto-monnaies. La première opération nord-coréenne liée aux crypto-monnaies remonte à février 2017, avec le vol de l’équivalent de 7 millions de dollars de monnaies numériques sur la plateforme d’échange Bithumb. A la fin 2017, de nombreux chercheurs avaient fait état de campagnes de phishing contre de telles plateformes, avec de nombreux vols, mais également des détournements liés au minage de Bitcoin et de Monero »
Un adversaire qui n’a pas froid aux yeux
Depuis plusieurs semaines, de nombreuses sociétés spécialisées dans la cybersécurité ont accusé des groupes de hackers de Corée du Nord de concentrer leurs attaques sur les plateformes de trading de crypto-monnaies sud-coréennes.
Des cherches de la société FireEye ont ainsi établi, en septembre dernier, la responsabilité de groupes de pirates financés par Pyongyang dans six cyberattaques menées contre ces plateformes.
Et à la fin du mois de décembre, la Korea Internet and Security Agency a lancé des enquêtes pour faire la lumière sur l’exploitation d’une faille de sécurité qui avait provoqué la faillite d’une plateforme d’échange locale, YouBit.
Pour certains observateurs, la responsabilité du pays ne fait plus aucun doute. L’un des analystes de FireEye, Luc McNamara, a déclaré à Bloomberg que les outils utilisés lors de cette attaque étaient similaires à ceux qu’affectionnaient les pirates nord-coréens.
Et si l’on en croit ses propos, il ne s’agit peut-être que d’un début :
« C’est un adversaire que nous surveillons, et qui est très rapidement monté en compétence. Il ne craint pas de s’attaquer à des cibles de poids. Il s’agit véritablement d’une attaque qui s’inscrit dans une stratégie plus large, qui semble avoir été initiée depuis l’année 2016, ou peut-être avant. Ils sont parvenus à développer les compétences nécessaires – pour mener des opérations d’espionnage, dans un premier temps, puis pour dérober des fonds ».
Références : CoinTelegraph, Joseph Young, Recorded Future