Mandiant, une société de cybersécurité récemment acquise par Google, a publié un rapport détaillant certaines des cyber-opérations de la Corée du Nord et la façon dont le pays utilise des pirates informatiques pour générer des revenus via le vol de crypto-monnaies.
La Corée du Nord a employé des pirates informatiques pour financer certaines opérations d’État via des « vols de crypto-monnaies », selon un rapport de la société de cybersécurité Mandiant.
« On pense que les opérations d’espionnage du pays reflètent les préoccupations et les priorités immédiates du régime, qui se concentre probablement actuellement sur l’acquisition de ressources financières par le biais de crypto heists, le ciblage des médias, des nouvelles et des entités politiques, les informations sur les relations étrangères et les informations nucléaires, ainsi qu’une légère baisse du vol, autrefois très élevé, de la recherche sur le vaccin COVID-19. «
Le rapport détaille les cyber-opérations du pays et la manière dont elles sont structurées au sein du Bureau général de reconnaissance (RGB), l’agence de renseignement nord-coréenne qui ressemble à la CIA ou au MI-6. Il fait également la lumière sur le tristement célèbre groupe de pirates informatiques « Lazarus », qui opère depuis la Corée du Nord depuis 2009.
Selon le rapport, Lazarus n’est pas un groupe unique de pirates informatiques, mais un terme générique que les journalistes utilisent pour désigner les nombreux groupes de pirates soutenus par l’État qui opèrent en République démocratique de Corée du Nord. Cependant, ces différents groupes opèrent dans différents « secteurs » et ont des responsabilités uniques. L’une de ces responsabilités consiste à collecter des fonds en volant des crypto-monnaies.
Évaluation de la structure des programmes cybernétiques de la RPDC
La dernière activité de cyberespionnage
Des groupes de pirates liés à Lazarus ont récemment été actifs et ont exploité une vulnérabilité de Google Chrome entre début janvier 2022 et mi-février, date à laquelle l’exploitation a été corrigée.
Le Threat Analysis Group (TAG) de Google a déclaré dans un billet de blog publié le 24 mars que des groupes d’attaquants soutenus par l’État nord-coréen – connus sous les noms d' »Operation Dream Job » et d' »Operation AppleJeus » – ont exploité une « vulnérabilité d’exécution de code à distance dans Chrome » depuis le début du mois de janvier 2022 pour mener divers piratages et attaques de phishing. Adam Weidemann de TAG a déclaré dans le billet de blog :
Nous avons observé que les campagnes ciblaient des organisations basées aux États-Unis, dans les secteurs des médias, de l’informatique, des crypto-monnaies et des technologies financières. Cependant, d’autres organisations et pays peuvent avoir été ciblés. »
L’exploit permettait aux pirates d’envoyer de fausses offres d’emploi à des personnes travaillant dans les secteurs susmentionnés, ce qui conduisait ensuite à des versions usurpées de sites Web de recherche d’emploi populaires comme Indeed.com. Le kit d’exploitation et l’hameçonnage sont similaires à ceux découverts dans l’opération « Dream Job ». Parallèlement, un autre groupe de pirates a ciblé des entreprises et des bourses de crypto-monnaies en utilisant le même kit d’exploitation.
Google a déclaré qu’environ 340 personnes avaient été ciblées par les groupes de pirates informatiques. Il a ajouté que tous les sites et domaines identifiés ont été ajoutés à son service de navigation sécurisée afin de protéger les utilisateurs et qu’il continue à surveiller la situation.
Lazarus cible les services financiers, les crypto-monnaies
Les groupes de hackers liés à Lazarus ont été impliqués dans divers hacks sur des entreprises de crypto et des banques traditionnelles depuis plusieurs années maintenant. Parmi les piratages notables, citons le cyber-héritage de la Bangladesh Bank en 2016 et diverses attaques liées aux crypto-monnaies en 2017.
Le principal groupe de pirates axé sur les attaques visant les services financiers est APT38, qui était à l’origine du célèbre piratage de SWIFT. Il comprend un sous-groupe appelé CryptoCore ou « Open Password ».
La plupart de ces piratages ont été couronnés de succès et on estime que les pirates ont récolté plus de 400 millions de dollars pour la Corée du Nord. Une enquête de l’ONU a conclu que le produit de ces cyber-attaques a été utilisé pour financer le programme de missiles balistiques de ce pays ermite.
