Actifs numériques
Les hackers nord-coréens poursuivent leur assaut sur les actifs numériques
Alors que les hackers d’État iraniens ont mené des attaques de ransomware et du minage de crypto, et que la Russie est censée utiliser des groupes de ransomware privés dans certaines capacités, le gouvernement nord-coréen est le seul grand adversaire à inclure la cybercriminalité financière dans ses activités offensives comme objectif principal.
Le programme de cybercriminalité de la Corée du Nord est à multiples têtes, avec des tactiques allant des braquages de banques au déploiement de ransomware en passant par le vol de cryptomonnaies sur les échanges en ligne.
Surnommés Lazarus, Kimsuky et BeagleBoyz, les hackers nord-coréens utilisent des outils toujours plus sophistiqués pour pénétrer les réseaux militaires, gouvernementaux, d’entreprise et de l’industrie de la défense à travers le monde, menant de l’espionnage cybernétique et exfiltrant des données classifiées afin d’aider au développement des armes nord-coréennes.
Les acteurs malveillants ont trompé des individus pour obtenir un accès ou compromis la sécurité afin de siphonner des fonds numériques depuis des portefeuilles connectés à Internet vers des adresses contrôlées par la Corée du Nord. Le pays frappé par les sanctions s’est tourné vers des méthodes élaborées de blanchiment de crypto volée, intensifiant l’utilisation d’outils logiciels qui agrègent et brouillent les cryptomonnaies provenant de milliers d’adresses.
L’année dernière, le ministère américain de la Justice a inculpé trois programmeurs nord-coréens pour leur participation à une vaste conspiration criminelle visant à mener une série d’attaques cybernétiques destructrices afin de voler et extorquer plus de 1,3 milliard de dollars en argent et cryptomonnaies auprès d’institutions financières et d’entreprises, de créer et déployer plusieurs applications malveillantes de cryptomonnaie, et de développer et commercialiser frauduleusement une plateforme blockchain.
En fait, l’attaque de la Corée du Nord contre les cryptomonnaies se poursuit, ayant accumulé plus d’un milliard depuis le dernier marché haussier.
$1,2 Mrd volés depuis 2017
La semaine dernière, le Service national du renseignement (NIS) de Corée du Sud a publié un nouveau rapport indiquant que les hackers nord-coréens ont volé environ 1,5 billion de won (1,2 milliard de dollars) en cryptomonnaies au cours des cinq dernières années. Plus de la moitié de ce montant a été volée cette année uniquement, et seulement 78 millions de dollars de cette somme colossale proviennent de Corée du Sud.
Selon l’agence de renseignement sud-coréenne, plus de 800 milliards de won coréens (620 millions de dollars) en cryptomonnaies ont été volés rien que cette année. S’exprimant à ce sujet, un porte-parole du NIS a déclaré que toute cette intrusion s’est produite à l’étranger, ajoutant : « En Corée, les transactions d’actifs virtuels ont été converties en transactions nominatives, et la sécurité a été renforcée, il n’y a donc aucun dommage. »
Pour ceux qui ne connaissent pas cette évolution, en 2021, le gouvernement sud-coréen a mis en place de nouvelles règles concernant le KYC (connaissance du client) pour le trading de cryptomonnaies. Il oblige toutes les plateformes d’échange de cryptomonnaies du pays à exiger de leurs clients la création d’un compte nominatif auprès de la même banque qu’ils utilisent pour déposer ou retirer leurs fonds.
De plus, l’échange et la banque doivent vérifier l’identité du client. En outre, les plateformes d’échange doivent obtenir une licence de la Commission des services financiers (FSC) avant de commencer leurs activités.
Des groupes de hackers nord-coréens ont été liés à plusieurs violations massives de cryptomonnaies cette année — notamment l’attaque Harmony de 100 millions de dollars. Les experts suggèrent que ces attaques constituent un moyen pour la nation de générer des réserves de devises étrangères, face aux sanctions commerciales strictes imposées par la communauté internationale.
Selon le NIS, la Corée du Nord possède l’une des meilleures capacités de vol d’actifs numériques au monde. Cela est dû à l’accent mis par le pays sur la cybercriminalité depuis 2017, lorsque les sanctions économiques de l’ONU ont été renforcées en réponse à ses essais nucléaires et de missiles.
L’agence a également averti que les cyberattaques nord-coréennes s’intensifieraient l’année prochaine: « Il est nécessaire d’analyser les attaques aussi attentivement que les défenses. Parce qu’une organisation de hackers possède toutes les informations d’attaque et ne les oublie pas. Il faut rassembler les informations liées au code malveillant dispersé par divers attaquants afin de trouver des insights pertinents. »
Les hackers nord-coréens utilisent les tactiques habituelles employées par d’autres groupes de hacking d’État et cybercriminels, notamment l’ingénierie sociale, le phishing et les exploits logiciels.
Tester de nouvelles méthodes de diffusion de logiciels malveillants
Le sous-groupe BlueNoroff de Lazarus est connu pour déployer un arsenal diversifié de logiciels malveillants dans des attaques à multiples facettes contre les entreprises afin d’obtenir des fonds illicitement. Il combine des tactiques de phishing sophistiquées et des malwares pour blanchir les fonds.
Selon le rapport du laboratoire de cybersécurité Kaspersky cette semaine, BlueNoroff a renouvelé son ciblage des sociétés de capital-risque, des startups crypto et des banques après être resté discret pendant la majeure partie de l’année. Le groupe montre désormais une hausse de son activité.
BlueNoroff a créé plus de 70 domaines factices conçus pour ressembler à des sociétés de capital-risque. La plupart des faux se présentent comme des entreprises japonaises bien connues, tandis que d’autres ont pris l’identité d’entreprises américaines et vietnamiennes.
Selon un rapport récent, le groupe a expérimenté de nouveaux types de fichiers et d’autres méthodes de diffusion de malwares. Une fois en place, son malware peut contourner les avertissements de sécurité Windows Mark-of-the-Web (MoTW) concernant le téléchargement de contenu. Il procède ensuite à « intercepter de gros transferts de cryptomonnaies, modifier l’adresse du destinataire et pousser le montant du transfert à la limite, drainant essentiellement le compte en une seule transaction. »
Alors que les menaces cybernétiques s’aggravent, les entreprises doivent être plus vigilantes que jamais pour se protéger. C’est ce qu’affirme Seongsu Park, chercheur chez Kaspersky, qui avertit que « l’année à venir sera marquée par des épidémies cybernétiques d’impact majeur, dont la puissance n’a jamais été vue auparavant. »
Les opérateurs associés au sous-groupe Lazarus BlueNoroff ont été liés à plusieurs cyberattaques ciblant des entreprises de petite à moyenne taille à travers le monde. Même les NFT ne sont pas hors du radar du groupe de hackers, car les acteurs menaçants nord-coréens associés au groupe Lazarus ont tenté de voler des jetons non fongibles au cours des dernières semaines.
Vols de NFT via le phishing
La société de sécurité blockchain SlowMist a publié un rapport à la fin de la semaine dernière qui a examiné en profondeur les activités de phishing à grande échelle menées par des groupes APT nord-coréens ciblant les utilisateurs de NFT.
SlowMist a constaté que l’une des techniques utilisées dans une récente attaque de phishing consistait à créer de faux sites web leurres liés aux NFT avec des Mint malveillants. Ces NFT ont ensuite été vendus sur des plateformes populaires telles qu’OpenSea, Rarible et X2Y2.
Le groupe de menace persistante avancée (APT) a été identifié comme TraderTraitor par le gouvernement américain dès 2020, et il a ciblé les utilisateurs de crypto et de NFT avec une campagne de phishing utilisant jusqu’à 500 noms de domaine différents.
Les caractéristiques uniques de phishing couramment utilisées par ces hackers impliquaient des sites de phishing enregistrant les données des visiteurs et les sauvegardant sur des sites externes, demandant une liste de prix d’objets NFT, ainsi qu’un fichier « imgSrc.js » liant des images au projet cible.
Après analyse des méthodes de phishing, SlowMist a également découvert que les hackers utilisaient plusieurs jetons, tels que WETH, USDC, DAI et UNI, etc., dans leurs attaques de phishing.
Plus grande attaque sur Ronin
Plus tôt cette année, le groupe Lazarus a également réussi à détourner plus de 600 millions de dollars de cryptomonnaies de la blockchain Ronin utilisée par le jeu NFT Axie Infinity. La société d’analyse de blockchain Chainalysis a qualifié cette attaque de la plus grande piraterie de cryptomonnaies à ce jour.
Créé par un studio de jeux vietnamien, Axie Infinity comptait à un moment donné plus d’un million de joueurs actifs. Et plus tôt cette année, la blockchain qui sous-tend le monde virtuel du jeu a été prise d’assaut par un syndicat de hackers nord-coréens, qui s’est emparé d’environ 620 millions de dollars en Ethereum.
Seuls environ 30 millions de dollars du butin crypto ont depuis été récupérés après qu’une alliance d’agences d’application de la loi et de sociétés d’analyse crypto a retracé une partie des fonds volés à travers une série de DEX et de « mixeurs crypto », un service qui mélange les cryptomonnaies de nombreux utilisateurs afin d’obscurcir les propriétaires et l’origine des fonds.
Les États-Unis ont depuis sanctionné le mixeur Tornado Cash, que le Trésor américain a déclaré avoir été utilisé par les hackers pour blanchir plus de 450 millions de dollars de leur butin en Ethereum.
Les startups d’investissement crypto également ciblées
Au milieu de toutes ces attaques, Microsoft a annoncé plus tôt ce mois-ci avoir identifié un acteur menaçant ciblant les startups d’investissement en cryptomonnaies. Le groupe, que Microsoft a surnommé DEV-0139, se fait passer pour une société d’investissement en cryptomonnaies sur Telegram et utilise un fichier Excel armé pour infecter les systèmes qu’il accède à distance.
La menace a montré un haut niveau de sophistication en s’identifiant faussement avec de faux profils d’employés d’OKX et en rejoignant des groupes Telegram « utilisés pour faciliter la communication entre les clients VIP et les plateformes d’échange de cryptomonnaies », a écrit Microsoft.
Nous constatons une augmentation des attaques sophistiquées où l’acteur menaçant est très compétent et a pris le temps de se préparer, souvent en gagnant la confiance de sa cible avant de déployer les charges utiles, a-t-il ajouté.
Par exemple, il y a quelques mois, une cible a été invitée à rejoindre un groupe et a été sollicitée pour donner son avis sur un document Excel comparant les structures de frais VIP des échanges crypto HTX, Binance et OKX. Le document fournissait des informations précises et une grande connaissance du trading de cryptomonnaies, mais il a également chargé de manière invisible un fichier .dll (bibliothèque de liens dynamiques) malveillant afin de créer une porte dérobée dans le système de l’utilisateur. On a ensuite demandé à la cible d’ouvrir elle-même le fichier malveillant pendant la discussion.
Microsoft a suggéré que DEV-0139 est le même acteur que la société de cybersécurité Volexity a lié au groupe Lazarus, utilisant une variante du malware AppleJeus et un installateur Microsoft (MSI).
En 2021, l’AppleJeus a été documenté par l’Agence fédérale américaine de cybersécurité et de sécurité des infrastructures.
Une hausse continue des attaques crypto
Il y a en fait eu une augmentation récente de la taille des attaques de cryptomonnaies menées par le gouvernement nord-coréen, selon Chainalysis.
Le groupe Lazarus a été lié à sept attaques contre des plateformes de cryptomonnaies, qui ont rapporté près de 400 millions de dollars d’actifs numériques en 2021 seulement, contre 300 millions de dollars en 2020, selon un rapport de la société d’analyse blockchain.
Lors d’une de ses années les plus réussies, le nombre de piratages liés à la Corée du Nord est passé de quatre à sept en 2021, tandis que la valeur extraite de ces piratages a augmenté de 40 %.
Selon le rapport, une fois que la Corée du Nord a pris possession des fonds, elle a immédiatement entamé un processus minutieux de blanchiment de l’argent afin de le convertir en liquidités sans être détectée.
Bien que Chainalysis n’ait pas identifié toutes les cibles des piratages de cryptomonnaies, ils ont indiqué qu’il s’agissait principalement de sociétés d’investissement et d’échanges centralisés. De plus, l’un de ces échanges, Liquid.com, a annoncé en août qu’un utilisateur non autorisé avait accédé à certains de ses portefeuilles de cryptomonnaies.
Selon Chainalysis, les attaquants ont utilisé des leurres de phishing, des malwares, des exploits de code et une ingénierie sociale avancée pour siphonner des fonds des « portefeuilles chauds » de ces organisations vers des adresses contrôlées par la Corée du Nord.
Le rapport a en outre indiqué que les chercheurs avaient identifié 170 millions de dollars de réserves de cryptomonnaies anciennes, non blanchies, provenant de 49 piratages distincts entre 2017 et 2021, suggérant un plan soigneux pour tout convertir en liquidités, « pas un plan désespéré et précipité ».
Note finale
On s’attend à ce que les hackers continuent d’exploiter les vulnérabilités des entreprises technologiques de cryptomonnaies, des sociétés de jeux et des plateformes d’échange afin de générer et blanchir des fonds au profit du régime nord-coréen.
Il va de soi que c’est un problème sérieux, la Corée du Nord étant connue pour utiliser des cyberattaques afin de voler des fonds pour soutenir son programme d’armes nucléaires. Cela souligne l’importance de la cybersécurité, en particulier pour les entreprises et les organisations que les hackers soutenus par l’État pourraient cibler.
Alors que le gouvernement nord-coréen a nié toute implication dans de telles activités, les preuves suggèrent que les hackers opèrent avec la bénédiction du régime. Face à cette menace persistante posée par les hackers nord-coréens, les entreprises et les particuliers doivent rester vigilants et prendre des mesures pour protéger leurs actifs numériques.
