Les millions de dollars des ETF crypto sont-ils la nouvelle cible de Lazarus ? Le FBI lance l’alerte !
Hacks et ingénierie sociale. Les pirates informatiques ne manquent jamais d’imagination pour attaquer leurs cibles. Ils modernisent leurs outils, comme le ransomware Akira, pour parvenir à leur fin. Récemment encore, le groupe Lazarus, a usurpé l’identité d’un dirigeant d’un riche fonds d’investissement crypto, pour tromper des développeurs de la finance décentralisée (DeFi). Un acte qui n’est pas isolé et qui semble bien au contraire se multiplier ces derniers temps.
À un tel point que le FBI alertait hier dans un communiqué de presse contre une nouvelle vague de cyberattaques menées par des hackers nord-coréens. Cette nouvelle vague cible spécifiquement les employés de notre secteur. Ces cybercriminels utilisent des stratégies d’ingénierie sociale sophistiquées pour tromper les individus et accéder aux fonds cryptographiques de leurs entreprises. Des techniques élaborées, difficiles à détecter même pour les experts en cybersécurité. On fait le point.
Des attaques bien préparées et ciblées par Lazarus et Kimsuky
Les hackers nord-coréens, parmi lesquels des groupes notoires comme Lazarus et Kimsuky, mènent des recherches approfondies sur leurs cibles potentielles, souvent des individus liés au Web3. Une fois identifiées, les victimes sont approchées via des offres d’emploi alléchantes ou des opportunités d’investissement, utilisant des informations personnelles détaillées pour renforcer la crédibilité des attaques.
Les pirates vont jusqu’à usurper l‘identité de contacts connus ou de recruteurs professionnels sur des sites comme LinkedIn. Ils créent également des sites web et des profils trompeurs pour renforcer l’illusion de légitimité.
Notons par ailleurs que les attaques ne se limitent pas aux offres d’emploi frauduleuses. Les cybercriminels demandent également aux employés ciblés de télécharger des applications sur des appareils connectés au réseau de l’entreprise, installant ainsi des logiciels malveillants capables de voler des cryptos. Les victimes sont aussi incitées à utiliser des logiciels non standards pour des tâches courantes.
Pour contrer ces menaces, le FBI recommande de ne pas stocker d’informations sensibles sur des appareils connectés à Internet et de mettre en place des protocoles de vérification des identités à l’aide de plateformes de communication sécurisées. Les entreprises doivent également être vigilantes aux signaux d’alertes typiques de ces attaques, comme les demandes inhabituelles de connexion ou d’informations.
« Les programmes d’ingénierie sociale nord-coréens sont complexes et élaborés, compromettant souvent les victimes avec un sens technique sophistiqué. Compte tenu de l’ampleur et de la persistance de cette activité malveillante, même ceux qui connaissent bien les pratiques de cybersécurité peuvent être vulnérables à la détermination de la Corée du Nord à compromettre les réseaux connectés aux actifs de cryptomonnaie. (… ) Les cyberacteurs malveillants nord-coréens ont mené des recherches sur diverses cibles liées aux fonds négociés en bourse de cryptomonnaie (ETF) au cours des derniers mois. Cette recherche comprenait des préparatifs pré-opérationnels suggérant que les acteurs nord-coréens pourraient tenter des cyberactivités malveillantes contre des entreprises associées à des ETF de cryptomonnaie ou à d’autres produits financiers liés à la cryptomonnaie. »
Communiqué de presse du FBI aux USA – Source
Hack de Ronin : Axie Infinity, le malheureux exemple à 173 600 ETH !
Ce récent avertissement du FBI concernant les cyberattaques nord-coréennes n’est pas sans rappeler l’un des hacks les plus marquants de l’histoire de la crypto. L’attaque contre Axie Infinity en mars 2022. Ce hack, orchestré par Lazarus, a entraîné la perte de 173 600 ETH et 25,5 millions d’USDC. Soit un montant total de près de 620 millions de dollars. Les pirates ont exploité une faille en usurpant l’identité via une offre d’emploi sur LinkedIn à un membre du personnel qui possédait les clés privées du DEX Ronin.
Dans les détails, c’est une entreprise fictive qui dupe cet ingénieur. Ce dernier a téléchargé un document PDF compromis. C’était une promesse de contrat issu d’un entretien en visioconférence, qui a permis aux hackers de s’infiltrer dans le système. Les pirates ont alors pu accéder à plusieurs clés de validation nécessaires pour mener leur attaque. Une faille supplémentaire concernant Axie DAO, un organisme chargé de gérer les transactions gratuites pour les utilisateurs, a été exploitée pour obtenir la dernière clé manquante. Cette série d’erreurs a permis aux hackers de finaliser leur vol.
Une méthode d’ingénierie sociale dénoncée par le FBI :
« Pour les entreprises actives dans le secteur de la cryptomonnaie ou associées à celui-ci, le FBI souligne que la Corée du Nord utilise des tactiques sophistiquées pour voler des fonds de cryptomonnaie et constitue une menace persistante pour les organisations ayant accès à de grandes quantités d’actifs ou de produits liés à la cryptomonnaie. Cette annonce comprend un aperçu des tactiques d’ingénierie sociale utilisées par les acteurs nord-coréens parrainés par l’État contre les victimes travaillant dans les industries DeFi, cryptomonnaie et connexes (…) »
Les ETF crypto : la nouvelle proie de Lazarus ?
Cependant, pour les hackers Nord-coréens, l’approbation des ETF Bitcoin au comptant aux USA cette année a changé la donne. Ces derniers ciblent désormais les entreprises associées aux fonds négociés en bourse (ETF), ce qui constitue une menace particulièrement inquiétante.
Le FBI précise même que ces pirates mènent des recherches pré-opérationnelles approfondies sur les sociétés impliquées dans la gestion de ces produits financiers, suggérant qu’ils pourraient tenter des attaques ciblées sur les ETF crypto. Ces fonds, qui regroupent des actifs numériques et facilitent leur achat et vente sur les marchés traditionnels, attirent les criminels en raison des grandes quantités de cryptomonnaies qu’ils détiennent.
L’ingénierie sociale, un fléau qui n’a pas attendu les cryptomonnaies !
L’ingénierie sociale est loin d’être une méthode nouvelle ou réservée aux seuls univers de la crypto. C’est un art de la manipulation qui exploite les failles humaines. Un fléau qui existait bien avant que les hackers ne l’adoptent pour attaquer les plateformes blockchain.
En théorie, l’ingénierie sociale, c’est l’art d’obtenir des informations confidentielles par des manipulations psychologiques. Contrairement aux attaques informatiques traditionnelles qui visent les failles des systèmes, l’ingénierie sociale cible les individus. L’humain. Les techniques les plus utilisées sont le phishing (hameçonnage), le pretexting (prétexte), le baiting (appât), ou encore le tailgating (filature). Ces approches jouent sur la crédulité, la curiosité, ou la peur des victimes pour obtenir des accès ou des informations importantes et surtout intimes.
L’ingénierie sociale a été le cœur de nombreux scandales. Nous pouvons retenir :
- Le Grand Canular de Kevin Mitnick : Ce célèbre hacker des années 90 est considéré comme l’un des plus grands maîtres de l’ingénierie sociale. Mitnick a manipulé des employés de grandes entreprises télécoms pour obtenir des mots de passe et des accès à des systèmes critiques.
- Le « Nigerian Prince Scam » : Une des arnaques les plus classiques. Ce mail promettant une fortune en échange d’une aide financière temporaire est une autre forme d’ingénierie sociale. Elle joue sur la cupidité et la crédulité des victimes, leur demandant des informations bancaires sous couvert de faux récits.
- L’affaire Target (2013) : L’un des plus gros vols de données de l’histoire. Des hackers ont utilisé l’ingénierie sociale pour tromper un sous-traitant de Target et obtenir des informations d’accès aux systèmes de paiement de l’entreprise. Les données de cartes bancaires de millions de clients ont été dérobées.
- Le piratage de l’équipe de campagne de Hillary Clinton (2016) : Les e-mails de John Podesta, directeur de campagne de Clinton, ont été compromis via une attaque de phishing. L’e-mail, qui semblait provenir de Google, demandait une réinitialisation de mot de passe. Des milliers d’e-mails sensibles ont été dévoilés.
Depuis 2017, les hackers nord-coréens ont volé environ 3 milliards de dollars en cryptomonnaies, menant des attaques répétées contre l’industrie. Rien qu’entre 2020 et 2023, ils ont dérobé et blanchi plus de 200 millions de dollars à travers 25 hacks. En 2022, ces cyberattaques représentaient 1,7 milliard de dollars, soit environ 5 % de l’économie nord-coréenne ou 45 % de son budget militaire, soulignant l’ampleur de cette cybercriminalité d’État. Des projets comme Axie Infinity, Harmony, et Nomad ont subi des pertes colossales. L’impact de ces attaques va bien au-delà des chiffres, car souvent, les victimes restent sur le carreau. C’est pourquoi ce genre d’article est parfois l’occasion de revenir sur les comportements à adopter en amont pour se protéger.