Depuis qu’il a été établi que le groupe de cybercriminels Lazarus est étroitement lié au régime de Pyongyang, les chercheurs tentent de percer leurs objectifs d’attaques. Le Bitcoin semble en faire parti, et l’arsenal des pirates serait à la hauteur.
Les experts sont unanimes : il semblerait que la Corée du Nord, par le biais de son groupe cybercriminel Lazarus, déjà pointé du doigt pour plusieurs affaires de vol de bitcoins. Mais Lazarus a aussi d’autres faits d’armes, tel que la cyberattaque massive à l’encontre de Sony fin 2014, ou le cyber-casse visant la banque centrale du Bangladesh en 2016 (un butin de plusieurs dizaines de millions de dollars, largement de quoi financer d’autres cyberattaques).
D’après le cabinet FireEye, Lazarus tenterait de s’en prendre aux places de marché Bitcoin; surtout en Corée du Sud. Le groupe est aussi suspecté d’être à l’origine du piratage de la place de marché Youbit, celle-ci venant de se faire dérober près de 17 % de son stock de bitcoins ce qui a entraîné sa fermeture. En avril dernier, des pirates ont réussi à subtiliser 3 816 bitcoins à Yapizon, la société qui a précédé Youbit. Vu le cours actuel, cela représente près de 50 millions d’euros.
Mais Lazarus n’entend pas s’arrêter en si bon chemin après ces cyber-casses se chiffrant à chaque fois en millions d’euros : D’après un rapport de Proofpoint, le groupe s’est doté d’un arsenal numérique pour dérober les bitcoins et les données de cartes bancaires des particuliers au travers de trois nouveaux malwares spécialement conçus : PowerRatankba, Gh0st RAT et RatankbaPOS.
PowerRatankba est un outil d’espionnage permettant d’analyser la machine cible et de savoir quelles applications y sont installées. Si le premier diagnostique s’avère positif, les pirates utilisent alors Gh0st RAT. Ce dernier va permettre de prendre le contrôle de la machine cible et de vider le ou les portefeuilles bitcoins liés. Ces 2 outils visent donc les particuliers et non les plateformes dédiées. Mais les gains peuvent tout aussi bien être importants, proportionnellement au nombre de victimes infectées dans le monde. Reste le malware baptisé RatankbaPOS. Comme son nom le laisse entendre, il s’agit d’un malware jugé étatique par les chercheurs de Proofpoint, capable de voler les données de cartes bancaires des utilisateurs n’importe où chez les commerçants physiques, via les terminaux de paiement CB. A ce jour, seule la Corée du Sud est concernée par ces attaques.
Pour propager ces malwres, Lazarus utilise des subterfuges désormais bien connus des experts en sécurité : de fausses mises à jour Skype ou Telegram, des documents PDF piégés envoyés par mail, des livres blancs et des guides sur les crypto-monnaies piégés, des sites Web infectés par du code JavaScript malveillant, etc.
Du coup, les revenus massifs liés au cybercrime sont multiples et abondants.
La Corée du Nord en —> a-t-elle <— après les bitcoins
Merci pour la France
Vive la France 🙂
Les commentaires sont fermés.