Comment des pirates nord-coréens ont utilisé LinkedIn et l'ingénierie sociale pour voler 3,4 milliards de dollars en crypto-monnaie ?

Auteurs : Eric Johansson et Tyler Pearson, DL News

Compilé par : Félix, PANews

Des pirates nord-coréens ont volé au moins 3,4 milliards de dollars de crypto-monnaie, en partie grâce à des attaques sur LinkedIn.

Le chiffre de 3,4 milliards de dollars représente le montant total des attaques de piratage liées au groupe nord-coréen Lazarus depuis 2007, y compris l'attaque de 2022 contre Horizon, le pont inter-chaînes d'actifs entre Ethereum et Harmony, avec une perte d'environ 100 millions de dollars. Le vol de portefeuille Atomic en 2023 d'une valeur de plus de 35 millions de dollars et l'attaque du ransomware WannaCry en 2017.

"Le groupe Lazarus a été une source majeure de revenus pour le régime nord-coréen", a déclaré Hugh Brooks, directeur des opérations de sécurité de la société blockchain CertiK.

Ce qui est peut-être moins connu, c'est la façon dont les pirates informatiques utilisent des plateformes de recrutement telles que LinkedIn pour mener des activités d'ingénierie sociale* (Remarque : l'ingénierie sociale fait référence à un type d'intrusion qui n'est pas purement informatique. Elle repose principalement sur l'interaction et la communication entre humains, et généralement Implique et utilise la tromperie pour contourner les processus de sécurité normaux afin d'atteindre les objectifs de l'attaquant, ce qui peut inclure l'obtention d'informations spécifiques souhaitées par l'attaquant)* et des attaques de phishing.

L’« Opération In(ter)ception » lancée par des gangs cybercriminels en 2019 en est un exemple frappant.

Selon la société de cybersécurité ESET, le groupe Lazarus cible les entreprises militaires et aérospatiales en Europe et au Moyen-Orient, en publiant des offres d'emploi sur LinkedIn et d'autres plateformes pour tromper les demandeurs d'emploi, en obligeant les demandeurs d'emploi à télécharger des PDF contenant des fichiers exécutables intégrés lors d'une attaque numérique.

Les attaques d'ingénierie sociale et de phishing tentent d'utiliser la manipulation psychologique pour inciter les victimes à baisser leur garde et à adopter un comportement compromettant la sécurité, comme cliquer sur un lien ou télécharger un fichier. Leurs logiciels malveillants permettent aux pirates de cibler les vulnérabilités des systèmes des victimes et de voler des informations sensibles.

Le groupe Lazarus a utilisé des méthodes similaires au cours d'une opération de six mois contre le fournisseur de paiements en crypto-monnaie CoinsPaid, qui a abouti au vol de 37 millions de dollars le 22 juillet de cette année.

CoinsPaid a révélé qu'en mars de cette année, les ingénieurs de CoinsPaid avaient reçu une liste de questions sur l'infrastructure technique de la part d'une soi-disant « startup ukrainienne de traitement de cryptographie ». En juin et juillet, des ingénieurs ont reçu de fausses offres d'emploi. Le 22 juillet, un employé pensait passer un entretien pour un emploi lucratif et a téléchargé le malware dans le cadre d'un soi-disant test technique.

Auparavant, le groupe de hackers avait passé 6 mois à se renseigner sur CoinsPaid, y compris tous les détails possibles tels que les membres de l'équipe et la structure de l'entreprise. Lorsque l'employé a téléchargé le code malveillant, le pirate informatique a pu accéder aux systèmes de CoinsPaid, puis exploiter la vulnérabilité du logiciel pour réussir à falsifier des demandes d'autorisation et à retirer des fonds du portefeuille chaud de CoinsPaid.

Tout au long de l'attaque, les pirates ont lancé des attaques techniques telles que le déni de service distribué* (Remarque : l'attaque par déni de service distribué est appelée DDoS. Cette forme d'attaque réseau tente d'inonder un site Web ou des ressources réseau avec du trafic malveillant, provoquant ainsi le site Web ou Les ressources du réseau deviennent inutilisables. Fonctionnement normal. Dans une attaque par déni de service distribué (DDoS), l'attaquant envoie des quantités massives de trafic Internet qui n'est pas réellement nécessaire, épuisant les ressources de la cible et empêchant le trafic normal d'atteindre son objectif. destination)*, et un type d'attaque connu sous le nom de stratégie de force brute : soumettez votre mot de passe plusieurs fois dans l'espoir de le deviner correctement.

Le groupe est également connu pour exploiter des attaques Zero Day* (Remarque : les vulnérabilités Zero Day ou vulnérabilités Zero Day font généralement référence à des vulnérabilités de sécurité qui n'ont pas encore été corrigées, tandis que les attaques Zero Day ou Zero Day font référence à des attaques qui exploitent de telles vulnérabilités. Fournissez ceci Les détails de la vulnérabilité ou la personne qui exploite le programme sont généralement ceux qui découvrent la vulnérabilité. Le programme d'exploitation des vulnérabilités du jour zéro constitue une menace énorme pour la sécurité du réseau. Par conséquent, les vulnérabilités du jour zéro ne sont pas seulement le favori des hackers, mais aussi le nombre de vulnérabilités zero-day maîtrisées est devenu un facteur d'évaluation du niveau technique des hackers (un paramètre important)* et déployer des malwares pour voler des fonds, mener de l'espionnage et du sabotage général.

En 2019, le département du Trésor américain a sanctionné le groupe Lazarus, le liant officiellement aux espions du service de reconnaissance nord-coréen. Le département du Trésor américain estime également que le groupe finance les programmes d'armes nucléaires des États terroristes.

Lecture connexe : Un « hacker nord-coréen » interviewe un ingénieur blockchain : « Le monde verra d'excellents résultats entre mes mains »