DragonEX : le pirate n’est autre que le groupe Lazarus
L’entreprise de cybersécurité 360 Qihoo a récemment émis une mise en garde à destination des exchanges crypto, signalant que le groupe de hackers connu sous le nom de Lazarus avait pris pour cible un grand nombre de plateformes, les plus récentes étant DragonEX, Etbox et BiKi. 360 Qihoo a également découvert quel était le malware responsable de l’attaque.
Lazarus
Le dernier piratage en date de ce groupe de hackers est DragonEx qui accuse une perte de 7,09 millions de dollars. Avec un modus operandi assez similaire à leurs précédentes attaques, les hackers aux liens supposés avec la Corée du Nord ont infecté les ordinateurs du service client de l’exchange.
Pour rappel, un rapport de Group-IB estime que, en 2018, Lazarus est le responsable du vol de 571 millions de dollars en cryptoactifs, soit 65 % de la somme totale dérobée au cours de l’année (882 millions de dollars).
Worldbit-bot
Le logiciel utilisé par Lazarus sur ses dernières attaques répond au nom de Worlbit-bot. L’analyse de 360 Qihoo relève également que le groupe d’attaquant avait enregistré deux noms de domaine – wb-invest.net & wb-bot.org – en octobre 2018 en préparation de l’attaque.
Ils ont ensuite créé un faux Qt Bitcoin Trade (un logiciel open source permettant le trade de crypto) infecté par Worldbit-bot. Les hackers se sont ainsi créé une backdoor, qui est restée active pendant plus de 6 mois, pendant que le logiciel continuait de fonctionner normalement.
Partant de là, ils ont pu mettre la main sur les clés privées de plusieurs wallets de la plateforme d’exchange, afin de s’y servir largement.
Lazarus continue de prendre en grade, et semble avoir récemment jeté son dévolu sur les plateformes crypto. On vous invite, comme d’habitude, à la méfiance, et à ne jamais HODLer vos actifs sur les exchanges, mais sur un hardware wallet.