
Frénésie des hackers nord-coréens : la protection des données d'entreprise est plus que jamais urgente
TechFlow SélectionTechFlow Sélection

Frénésie des hackers nord-coréens : la protection des données d'entreprise est plus que jamais urgente
Comment se protéger contre les attaques de sécurité menées par des pirates nord-coréens ?
Rédaction : MetaTrust Labs
Le 1er janvier 2024, une attaque informatique ciblant Orbit Chain a attiré l'attention du monde entier dans le domaine des cryptomonnaies. Selon les rapports, les hackers ont exploité une vulnérabilité d'Orbit Chain pour dérober des cryptomonnaies d'une valeur de 81,5 millions de dollars américains, transférées ensuite vers d'autres adresses. Orbit Chain a confirmé cet incident et indiqué coopérer avec les autorités judiciaires internationales afin d'identifier les assaillants et leurs motivations. Certains experts en cybersécurité estiment que la méthode et les objectifs de cette attaque ressemblent fortement au modus operandi du groupe nord-coréen Lazarus, suggérant qu'il pourrait s'agir là d'un nouveau crime cybernétique perpétré par cette organisation.
Qu'est-ce que le groupe Lazarus, et pourquoi ses activités suscitent-elles une telle vigilance internationale ? Comment ce groupe parvient-il à utiliser les cryptomonnaies pour contourner les sanctions internationales et les mesures anti-blanchiment ?
Le groupe de hackers Lazarus originaire de Corée du Nord
Le groupe de hackers Lazarus est une organisation notoire aux liens officiels avec la Corée du Nord, active depuis plus de dix ans à compter de 2009. Réputé pour viser des entités à travers le monde, il a mené jusqu'à présent diverses opérations, notamment contre des institutions financières, des médias et des organismes gouvernementaux. Le groupe Lazarus est contrôlé par le Bureau 121, rattaché au Département du renseignement et de reconnaissance (RGB) nord-coréen. Spécialisé dans les attaques contre les banques et les plateformes d'échange de cryptomonnaies, il vise à tirer profit économique du vol de fonds et de données. Le groupe traite les programmeurs avec un grand prestige et encourage les talents informatiques à rejoindre la filière officielle de « hackers ».
L'Université d'automatisation de Pyongyang constitue l'une des principales sources de recrutement des hackers de Lazarus. L'organisation aurait progressivement déplacé son centre d'intérêt des attaques politiques vers les attaques économiques, en ciblant particulièrement l'univers des cryptomonnaies. Ses activités incluent également des campagnes ciblant les chercheurs en sécurité, l'injection de code malveillant dans des plateformes open source de cryptomonnaies, des vols massifs de cryptomonnaies, ainsi que la diffusion de logiciels malveillants via de fausses offres d'emploi. Les fonds obtenus illégalement par ces groupes criminels passent par des processus classiques de blanchiment utilisés traditionnellement par les organisations criminelles. Les cryptomonnaies volées sont souvent converties en monnaie fiduciaire afin d'échapper aux mesures anti-blanchiment.
La Corée du Sud, les États-Unis et le Japon restent extrêmement vigilants face aux activités des hackers nord-coréens. Selon les rapports, ces derniers auraient réussi à dérober environ 3 milliards de dollars de fonds en cryptomonnaies ces dernières années, des sommes utilisées pour financer les programmes nucléaires et balistiques de la Corée du Nord. Des conseillers en sécurité américains, sud-coréens et japonais se sont réunis à Séoul pour discuter des risques posés par la Corée du Nord dans l'espace numérique, annonçant une nouvelle initiative de coopération trilatérale axée sur la lutte contre les crimes informatiques et le blanchiment de cryptomonnaies orchestrés par Pyongyang. Cette rencontre intervient alors que les tensions sur la péninsule coréenne s'intensifient, la Corée du Nord accélérant son expansion nucléaire et balistique tout en affichant publiquement sa doctrine de premier usage nucléaire.
Les méthodes et cibles employées par le groupe Lazarus sont variées, allant des attaques SWIFT contre les institutions financières aux vols généralisés de cryptomonnaies, témoignant d'une grande capacité technique et d'une menace élevée. Pourtant, les mesures de prévention contre ces attaques restent limitées. Depuis 2018, les hackers nord-coréens auraient déjà volé environ 2 milliards de dollars de monnaies virtuelles. En 2023 seulement, ils ont dérobé quelque 200 millions de dollars en cryptomonnaies, représentant 20 % du total des fonds volés cette année-là. La présence continue de ces hackers constitue une menace persistante pour l'écosystème des monnaies virtuelles, leurs méthodes d'attaque évoluant constamment vers davantage de sophistication.
L'échelle des activités du groupe nord-coréen dépasse celle des autres acteurs malveillants d'un facteur dix, et il cible aussi activement l'écosystème de la finance décentralisée (DeFi). Il utilise diverses méthodes d'attaques informatiques, notamment le phishing, les attaques de la chaîne d'approvisionnement et d'autres formes de piratage. Ainsi, les entreprises et les utilisateurs individuels doivent renforcer leurs mesures de cybersécurité, mettre régulièrement à jour leurs logiciels, appliquer des politiques robustes de mots de passe, et sensibiliser davantage à la sécurité numérique. Parallèlement, les autorités de régulation doivent intensifier leur surveillance et établir des lois et règlements plus stricts pour freiner ces activités criminelles.
Cas d’attaque n°1 : Opération Blacksmith - Lazarus exploite la vulnérabilité Log4Shell
Processus et techniques d’attaque :
1. Exploitation de la vulnérabilité Log4Shell : Lazarus exploite d'abord la faille Log4Shell, une vulnérabilité d'exécution de code à distance découverte dans la bibliothèque de journalisation Log4j. Bien que cette faille ait été identifiée et corrigée il y a deux ans, de nombreux systèmes continuent d'utiliser des versions non mises à jour, offrant ainsi une porte d'entrée à Lazarus.
2. Déploiement d’un outil proxy : Une fois l'accès initial obtenu, Lazarus installe un outil proxy permettant un accès durable au serveur compromis. Cet outil leur permet d'exécuter des commandes d'exploration, de créer de nouveaux comptes administrateurs, et de déployer d'autres outils de vol d'identifiants.
3. Déploiement de NineRAT : Dans une deuxième phase, Lazarus installe le logiciel malveillant NineRAT sur le système. NineRAT est un cheval de Troie d’accès distant capable de collecter des informations système, de se mettre à jour, d’interrompre son exécution, de s’auto-désinstaller, ou encore d’envoyer des fichiers depuis l’ordinateur infecté. Il contient également un module de lancement responsable de la persistance et du démarrage du binaire principal.
4. Utilisation de DLRAT et BottomLoader : Lazarus emploie également DLRAT et BottomLoader. DLRAT est un cheval de Troie et un programme de téléchargement qui permet à Lazarus d’introduire des charges utiles supplémentaires sur les systèmes infectés. BottomLoader est un autre programme malveillant capable de récupérer et d’exécuter des charges utiles à partir d’URL codées en dur.
5. Vol d’identifiants et persistance : Utilisation d’outils comme ProcDump et MimiKatz pour extraire les identifiants et obtenir davantage d’informations système. En créant des fichiers URL dans le dossier de démarrage du système, Lazarus assure la persistance de nouvelles versions de ses charges utiles ou leur suppression automatique.
Liens de référence : https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.html https://nvd.nist.gov/vuln/detail/cve-2021-44228
Cas d’attaque n°2 : Attaque de la chaîne d’approvisionnement via le logiciel MagicLine4NX
Processus d’attaque :
1. Attaque par site piégé (watering hole) : Le groupe Lazarus infiltre des sites web fréquemment visités par ses cibles et y insère des scripts malveillants. Lorsqu’un utilisateur du logiciel d’authentification MagicLine4NX visite l’un de ces sites, le code intégré s’exécute, permettant aux hackers de prendre le contrôle total du système.
2. Propagation du code malveillant via une faille système : Les hackers exploitent une vulnérabilité zéro-day présente dans le logiciel MagicLine4NX, permettant aux ordinateurs connectés au réseau d’accéder à leurs serveurs Internet. Ils propagent ensuite le code malveillant vers les serveurs métiers grâce à la fonction de synchronisation des données.
3. Tentative de transfert de données : Le logiciel malveillant tente d’établir une connexion avec deux serveurs C2 (Command and Control), dont l’un se trouve dans le réseau interne, l’autre à l’extérieur d’Internet. En cas de succès, de grandes quantités d’informations internes pourraient être exposées.
Moyens techniques :
1. Exploitation de vulnérabilités zéro-day : Les hackers tirent parti d’une faille zéro-day dans le logiciel MagicLine4NX — une vulnérabilité encore non divulguée — leur permettant d’accéder sans autorisation aux systèmes ciblés.
2. Attaque de la chaîne d’approvisionnement : En exploitant une faille dans la chaîne d’approvisionnement, les hackers contournent les mesures de sécurité classiques pour atteindre directement les systèmes visés.
3. Synchronisation des données et connexion aux serveurs C2 : Les hackers utilisent la fonction de synchronisation des données pour propager le code malveillant vers les serveurs métiers, tout en tentant d’établir une connexion avec des serveurs C2 externes afin de poursuivre leur contrôle et de voler des données.
Liens de référence : https://www.zerofox.com/advisories/22471/ https://nvd.nist.gov/vuln/detail/CVE-2023-45797
Cas d’attaque n°3 : Attaques ciblant les cryptomonnaies
Cible : Bourses de cryptomonnaies, portefeuilles numériques, écosystème de la finance décentralisée (DeFi)
Période d’attaque : Depuis 2018, particulièrement en 2023
Processus et moyens techniques :
1. Exploitation de clés privées compromises ou de phrases-seeds divulguées : Les hackers nord-coréens utilisent le phishing ou des attaques de la chaîne d’approvisionnement pour s'emparer de clés privées ou de phrases-seeds divulguées, permettant ainsi d’infiltrer les cibles.
2. Attaques inter-chaînes : Ils ciblent spécifiquement les ponts inter-chaînes (cross-chain bridges), tels que le pont Ronin d’Axie Infinity, afin de voler de grandes quantités de monnaies virtuelles.
Processus de blanchiment en plusieurs étapes : Les hackers nord-coréens ont déjà utilisé par le passé des processus complexes de « blanchiment en plusieurs étapes » pour dissimuler l’origine et la destination des fonds. Ils convertissent d’abord les cryptomonnaies volées en différents jetons, puis effectuent de multiples mélanges et échanges via des programmes automatisés, des mixers et des échanges inter-chaînes, rendant ainsi le suivi des fonds extrêmement difficile.
3. Utilisation des bourses décentralisées : Ils convertissent les cryptomonnaies volées en Ether via des bourses décentralisées, avant de procéder à de nouveaux mélanges et échanges répétés.
En combinant ces cas, on observe que les attaquants peuvent dérober des données sensibles, telles que des informations commerciales confidentielles, des données clients et des informations personnelles, entraînant des fuites de confidentialité et des conséquences juridiques potentielles. Puisque les hackers prennent le contrôle total des systèmes ciblés, ils peuvent accéder à d’importantes quantités d’informations sensibles, y compris les données internes des entreprises et les dossiers clients. Les opérations de hacking de Lazarus entraînent non seulement des fuites de données et des dommages aux systèmes, mais peuvent aussi avoir un impact sévère sur les activités des victimes.
Ces attaques impliquent souvent des campagnes complexes de compromission de la chaîne d’approvisionnement, rendant la prévention et la détection particulièrement difficiles. Elles peuvent provoquer des pertes financières importantes, incluant les coûts liés à l’éradication des logiciels malveillants, à la récupération des données et à la réparation des systèmes, ainsi que les pertes de revenus dues à l’interruption des activités. L’attaque de hackers a conduit au vol massif de cryptomonnaies, occasionnant non seulement des pertes économiques pour les victimes, mais aussi une exposition potentielle de leurs informations personnelles et historiques de transactions. Les attaques contre les ponts inter-chaînes peuvent entraîner la paralysie complète du système, perturbant gravement les transactions normales.
Pour faire face à ces menaces de sécurité, voici les mesures préventives recommandées aux organisations
1. Correction rapide des vulnérabilités : Appliquer rapidement les correctifs de sécurité pour remédier aux failles connues. En particulier pour les logiciels et composants utilisés dans la chaîne d’approvisionnement, l’utilisation de la fonction d’audit automatisé de MetaScan permet de détecter et corriger rapidement les vulnérabilités potentielles.
2. Renforcement de la sécurité de la chaîne d’approvisionnement : Établir des partenariats sécurisés avec les fournisseurs, examiner et valider les logiciels et composants, afin de garantir que chaque maillon de la chaîne d’approvisionnement soit protégé contre les attaques. La fonction de surveillance de MetaScout permet de mettre à jour dynamiquement la liste noire et de bloquer les attaques provenant d’adresses suspectées d’appartenir à des hackers nord-coréens.
3. Formation à la sensibilisation à la sécurité : Renforcer la formation des employés à la cybersécurité. Sensibiliser le personnel aux risques d’attaques par site piégé, aux scripts malveillants et à l’importance de la sécurité de la chaîne d’approvisionnement, afin de réduire les erreurs humaines. La solution DevSecOps de Scantist peut fournir aux organisations une formation et un accompagnement complets en matière de sécurité.
4. Surveillance du trafic réseau : Mettre en œuvre une surveillance du trafic réseau et des systèmes de détection/prévention d’intrusion (IDS/IPS) afin de repérer rapidement les activités anormales et les comportements malveillants. Le mécanisme de blocage d’attaques de MetaScout peut s’intégrer à la surveillance du trafic réseau pour identifier et arrêter efficacement les transactions malveillantes.
5. Défense multicouche : Adopter une stratégie de défense multicouche comprenant pare-feux, systèmes de détection d’intrusion, logiciels antivirus, etc., afin d’améliorer la sécurité globale du système. La fonction Prover de MetaScan peut être combinée aux outils et mesures de sécurité existants pour former un système de défense plus complet.
6. Surveillance et réponse continues : Mettre en place un mécanisme de surveillance et de réponse aux incidents, en surveillant en temps réel les activités du réseau et des systèmes pour détecter rapidement tout comportement anormal et adopter des mesures adaptées, afin de minimiser les pertes causées par les attaques. La fonction d’analyse des composants de Scantist permet une surveillance continue des vulnérabilités dans la chaîne d’approvisionnement logicielle, et intercepte immédiatement les composants open source ou tiers problématiques.
7. Renforcement des mesures de sécurité des bourses et portefeuilles de cryptomonnaies : Les bourses et portefeuilles de cryptomonnaies doivent renforcer leurs dispositifs de sécurité, notamment en utilisant des mots de passe robustes, en changeant régulièrement les clés privées, et en mettant en œuvre des stratégies de sécurité multicouches. Le mécanisme de blocage de MetaScout peut offrir aux bourses de cryptomonnaies une protection contre les attaques basée sur une liste noire dynamique, garantissant la sécurité des actifs numériques des utilisateurs.
8. Audits et vérifications réguliers : Les organisations doivent effectuer régulièrement des audits et inspections de sécurité de leurs systèmes afin de s’assurer qu’aucune vulnérabilité latente ne subsiste. La fonction d’audit automatisé de MetaScan aide les organisations à réaliser des évaluations de sécurité complètes et à détecter rapidement les failles et risques potentiels.
9. Sensibilisation du public : Informer le grand public sur l’importance de la cybersécurité, en leur apprenant à protéger leurs actifs numériques. Les organisations peuvent organiser des campagnes de sensibilisation via les médias sociaux ou d’autres canaux, diffuser des conseils pratiques et renforcer la culture de sécurité numérique.
Il convient de noter que les menaces et les recommandations de sécurité doivent être évaluées et adaptées selon les circonstances réelles et les dernières informations disponibles. En outre, des mesures telles que la sauvegarde et restauration régulières des données, l'utilisation de mots de passe forts et de l’authentification multifacteur, ou encore la limitation des accès privilégiés, constituent également des pratiques efficaces pour renforcer la sécurité.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










