Quand un jeu NFT cache un hack : Lazarus Group frappe encore
Lazarus frappe une nouvelle fois. Lazarus est un groupe de hackers nord-coréen qui sévit dans l’écosystème crypto depuis plusieurs années. Entre 2020 et 2023, le groupe a mené plus de 25 hacks différents, ciblant des protocoles ou exchanges crypto. Désormais, ils refont parler d’eux après avoir exploité une faille dans le navigateur Google Chrome.
Un jeu vidéo blockchain comme appât
Securelist est un blog qui répertorie l’ensemble des trouvailles de Kaspersky, une entreprise spécialisée dans la sécurité informatique. Ainsi, ils publient fréquemment des rapports complets sur les menaces détectées.
Le 23 octobre, ils ont révélé une nouvelle affaire de piratage massif impliquant le groupe de hackers nord-coréens de Lazarus. Une fois n’est pas coutume avec Lazarus, l’objectif était de mettre la main sur des cryptomonnaies.
Pour ce faire, ils sont allés jusqu’à créer un faux jeu MOBA appelé Detankzone. Ce dernier était basé sur des NFTs, un appât idéal pour dérober des cryptomonnaies.
Pour que tout cela paraisse vrai, ils ont créé un site internet dédié au jeu. Nous avons même la possibilité d’y télécharger une version bêta du jeu.
Évidemment, il est logique de penser que le malware était situé dans la version bêta du jeu. Et bien non.
En creusant le code source du jeu, les chercheurs de Kaspersky ont découvert qu’il y avait bel et bien le code source d’un MOBA dans lequel des tanks s’affrontent.
« Après de nombreuses manœuvres, nous avons pu nous connecter au jeu et jouer avec les tanks ! Oui, il s’agit d’un vrai jeu ! Nous y avons joué un peu et c’était amusant – cela nous a rappelé certains jeux shareware du début des années 2000. »
Sauf, qu’en réalité ce n’est pas Lazarus qui a développé ce jeu. Ils ont volé le code source à un autre projet, DefiTankland.
« Nous avons trouvé un jeu légitime qui a servi de prototype à la version de l’attaquant – il s’agit de DeFiTankLand (DFTL). »
Ainsi, les attaquants ont créé une version modifiée du jeu DeFiTankLand (DFTL). Après avoir volé son code source, ils ont lancé une campagne en février 2024 pour promouvoir leur version du jeu.
Un hack sophistiqué
En pratique, l’attaque menée par Lazarus est bien plus sophistiquée. Dans cette affaire, le jeu n’est qu’un appât, et la version bêta téléchargeable sur le site ne présente aucun malware.
Tout est fait pour détourner l’attention de la vraie menace : le site internet du jeu. C’est sur celui-ci que se cache la faille qui permet à Lazarus de dérober vos précieuses cryptomonnaies.
Pour cela, Lazarus a utilisé une vulnérabilité dite 0-day présente dans le navigateur Google Chrome. Pour rappel, une 0-day est une vulnérabilité inconnue de tous, que les attaquants exploitent avant qu’un correctif ne soit déployé. Celles-ci peuvent être découvertes par les hackers ou bien achetées auprès d’autres hackers.
Dans notre cas, cette faille permettait d’exécuter du code arbitraire sur la machine de la victime via un script malveillant. Ce script s’exécutait lors de la visite du faux site sans que l’utilisateur ne s’en rende compte.
Une fois la faille exploitée, le code malveillant injecté via Google Chrome contournait les protections présentes, permettant à l’attaquant de manipuler la mémoire du système infecté.
Et le tour est joué. Lazarus a un plein accès à l’ordinateur de sa victime, et de ce fait, aux wallets stockés localement. Ils n’avaient plus qu’à se servir.
Évidemment, les équipes de Kaspersky ont immédiatement alerté Google, qui a déployé un correctif deux jours après la détection de la faille. Toutefois, il est difficile de savoir depuis quand Lazarus a découvert ou obtenu cette faille qui affectait Google Chrome.
Lazarus : une organisation tentaculaire
En pratique, ce n’est pas à proprement parler Lazarus qui est à l’origine de cette attaque. En effet, elle a été menée par BlueNoroff, un sous-groupe de Lazarus, également à la botte du gouvernement nord-coréen.
Toutefois, cette affaire se différencie des autres attaques menées par la nébuleuse Lazarus. En effet, c’est l’une, si ce n’est la première fois que l’on voit le groupe mener une attaque massive à l’encontre de victimes lambda.
Jusqu’à présent, Lazarus ciblait principalement les plateformes d’échange de cryptomonnaies ou les protocoles DeFi. Les quelques cas d’attaques de personnes physiques ciblaient des portefeuilles très fortunés.
Il est désormais clair que Lazarus a une stratégie tentaculaire concernant les hacks crypto. Tous les moyens sont bons pour dérober des cryptomonnaies, et ce, peu importe leur origine.
Au mois de septembre, les efforts communs de plusieurs émetteurs de stablecoins ont permis de geler 5 millions de dollars qui avaient été dérobés par Lazarus. Toutefois, cela reste encore bien loin des milliards de dollars qui ont été dérobés par le groupe à ce jour.