Un groupe de hackers lié à la Corée du Nord cible le secteur des cryptomonnaies via une opération d'envergure mondiale

Par:
admin

mer, 26/08/2020 - 11:28

F-Secure a publié un rapport établissant un lien entre une attaque ciblant une organisation travaillant dans le secteur des cryptomonnaies et le Groupe Lazarus - un groupe de pirates informatiques hautement qualifié, aux motivations financières, dont les intérêts seraient alignés sur ceux de la Corée du nord. En corrélant les preuves obtenues de l'attaque aux résultats de recherches existantes, le rapport a pu conclure que l’opération de piratage faisait partie d’une campagne plus large ciblant des organisations du même secteur œuvrant aux États-Unis, au Royaume-Uni, aux Pays-Bas, en Allemagne, à Singapour, au Japon et dans d'autres pays.

Le rapport tactique fournit une analyse des échantillons, des logs et d'autres indices techniques récupérés par F-Secure au cours de l’enquête de réponse post-incident réalisée pour l'organisation victime de l’attaque. Selon le rapport, les outils de piratage utilisés étaient presque identiques à ceux employés précédemment par le groupe Lazarus, également connu sous le nom d'APT38.

Le rapport identifie les tactiques, techniques et procédures (TTP) utilisées durant l'attaque. Il évoque notamment une opération de spearphishing menée via LinkedIn pour envoyer une fausse offre d'emploi adaptée au profil du professionnel ciblé. Selon Matt Lawrence, directeur de la détection et de la réponse de F-Secure, les recherches menées par F-Secure fournissent une base solide, à des recommandations concrètes en matière de sécurité.

« Ce rapport s’appuie sur notre travail de détection et de réponse, ainsi que sur le travail de nos unités de défense tactique. Nos recherches montrent que cette attaque présente un certain nombre de similitudes avec les activités déjà connues du groupe Lazarus. Nous sommes convaincus que ces mêmes hackers se cachent derrière cette attaque », précise Matt Lawrence. « Les preuves suggèrent également que cette opération fait partie d'une campagne plus large visant des organisations dans plus d'une douzaine de pays. Les entreprises peuvent utiliser ce rapport pour mieux comprendre ce piratage, le groupe Lazarus ainsi que ses TTP (Tactics, Techniques, and Procedures), pour mieux se protéger contre de futures attaques. »

Les chercheurs de F-Secure ont donc pu relier cet incident à une campagne de plus grande ampleur, toujours en cours, qui se déroule depuis au moins janvier 2018. Cette corrélation a pu être établie à partir des traces de phishing de l’attaque menée par le groupe Lazarus. Selon le rapport, ces artefacts étaient similaires à ceux utilisés dans des opérations se déroulant dans au moins 14 pays : les États-Unis, la Chine, le Royaume-Uni, le Canada, l'Allemagne, la Russie, la Corée du Sud, l'Argentine, Singapour, Hong Kong, les Pays-Bas, l'Estonie, le Japon et les Philippines.

Le groupe Lazarus a déployé des efforts considérables pour échapper aux mesures de défense mise en place par l'organisation ciblée. Les hackers ont notamment désactivé le logiciel antivirus sur les hôtes piratés et ont supprimé les traces permettant d'identifier les outils malveillants utilisés. Bien que le rapport qualifie l'attaque de « sophistiquée », ces efforts de dissimulation n'ont pas suffi à empêcher l'enquête de F-Secure de récupérer des preuves.

Le rapport, intitulé Une campagne du groupe Lazarus cible le secteur des cryptomonnaies, contient de plus amples informations permettant de lutter contre ce type d'attaques. Il présente notamment des indicateurs de compromission, une liste des TTP utilisés dans l'attaque et des conseils supplémentaires pour détecter les activités du groupe Lazarus. Ce rapport est disponible ici.