Paradigm : lever le mystère de la menace du groupe de hackers nord-coréen Lazarus
TechFlow SélectionTechFlow Sélection
Paradigm : lever le mystère de la menace du groupe de hackers nord-coréen Lazarus
Examinons le groupe Lazarus, l'auteur présumé du piratage de Bybit, sous les angles de sa structure organisationnelle, de ses méthodes d'attaque et des stratégies de prévention.
Dédié à des analyses Web3 approfondiesRédaction : samczsun, associé recherche chez Paradigm
Traduction : Bright, Foresight News
Un matin de février, les alertes du groupe SEAL 911 se sont allumées. Nous avons observé, perplexes, Bybit retirer plus d’un milliard de dollars en jetons depuis leur portefeuille froid vers une nouvelle adresse, puis commencer rapidement à liquider plus de 200 millions de dollars en LST. En quelques minutes, nous avons confirmé auprès de l’équipe Bybit et via des analyses indépendantes (multisignature : auparavant réalisée avec un Safe Wallet publiquement vérifié, désormais via un contrat nouvellement déployé non vérifié) qu’il ne s’agissait pas d’une maintenance habituelle. Quelqu’un avait lancé le plus grand piratage de l’histoire des cryptomonnaies, et nous étions assis au premier rang du spectacle historique.
Alors qu’une partie de notre équipe (ainsi que la communauté plus large des enquêteurs) commençait à tracer les fonds et à envoyer des notifications aux bourses partenaires, d'autres membres tentaient de comprendre ce qui s’était réellement produit, et si d'autres fonds étaient en danger. Heureusement, identifier l’attaquant était simple. Au cours des dernières années, un seul acteur connu a réussi à voler des milliards de dollars aux bourses de cryptomonnaies : la Corée du Nord, aussi appelée DPRK.
Cependant, au-delà de cela, nous avions presque aucun indice. En raison du caractère sournois des pirates nord-coréens et de leurs compétences élevées en auto-dissimulation, il est non seulement difficile d’identifier la cause initiale de l’intrusion, mais même de savoir quel groupe spécifique au sein de la Corée du Nord était responsable. La seule chose sur laquelle nous pouvions compter était l’intelligence existante indiquant que la Corée du Nord affectionnait particulièrement l’ingénierie sociale pour infiltrer les bourses de cryptomonnaies. Nous avons donc supposé qu’ils avaient probablement compromis un signataire multisig de Bybit, puis déployé un logiciel malveillant perturbant le processus de signature.
Cette hypothèse s’est révélée complètement fausse. Quelques jours plus tard, nous avons découvert que la Corée du Nord avait en réalité compromis l’infrastructure même de Safe Wallet, déployant un surcharge malveillant spécifiquement conçu pour cibler Bybit. Un tel niveau de sophistication n’avait été envisagé ni anticipé par personne, et représente un défi majeur pour de nombreux modèles de sécurité existants.
Les hackers nord-coréens constituent une menace croissante pour notre secteur, et nous ne pouvons pas vaincre un ennemi que nous ne comprenons pas. Bien qu’il existe de nombreuses publications et événements documentés sur les opérations cybernétiques nord-coréennes, il est difficile de les relier entre eux. J’espère que cet aperçu permettra une compréhension plus complète de la manière dont la Corée du Nord opère, ainsi que de ses stratégies et procédures, facilitant ainsi la mise en œuvre de mesures d’atténuation appropriées.
Structure organisationnelle
L’un des plus grands malentendus concerne la manière de classer et nommer les nombreuses activités cybernétiques nord-coréennes. Bien qu’il soit acceptable d’utiliser couramment le terme « Lazarus Group » comme fourre-tout, il est utile, lorsqu’on examine en détail les menaces systémiques nord-coréennes, d’adopter une terminologie plus rigoureuse.
Tout d’abord, il est utile de comprendre l’« organigramme » nord-coréen. Au sommet se trouve le Parti du travail de Corée (WPK), parti unique dirigeant toutes les institutions gouvernementales nord-coréennes. Celles-ci incluent l’Armée populaire de Corée (KPA) et le Comité central. Au sein de l’armée populaire se trouve l’État-major général (GSD), où siège le Bureau général du renseignement (RGB). Le Comité central supervise également le ministère de l’Industrie militaire (MID).
Le RGB est responsable de presque toutes les opérations cybernétiques nord-coréennes, y compris la quasi-totalité des activités observées dans l’industrie des cryptomonnaies. Outre le célèbre Lazarus Group, d’autres acteurs malveillants issus du RGB incluent AppleJeus, APT38, DangerousPassword et TraderTraitor. D’autre part, le MID supervise le programme nucléaire et balistique de la Corée du Nord, et constitue la principale source des travailleurs informatiques nord-coréens ; le renseignement les désigne sous les noms de Contagious Interview et Wagemole.
Lazarus Group
Le Lazarus Group est une organisation de hackers hautement sophistiquée. Les experts en cybersécurité attribuent à ce groupe certains des attaques les plus massives et destructrices de l’histoire. En 2016, Novetta a identifié le Lazarus Group lors de l’analyse du piratage de Sony Pictures Entertainment (Sony).
En 2014, Sony produisait la comédie d’action « The Interview », centrée sur l’humiliation puis l’assassinat de Kim Jong-un. Ce film n’a évidemment pas plu au régime nord-coréen, qui a riposté en infiltrant le réseau de Sony, en volant plusieurs téraoctets de données, en divulguant des centaines de gigaoctets d’informations confidentielles ou sensibles, et en effaçant les originaux. Comme l’a déclaré alors son PDG Michael Lynton : « Ceux qui ont fait ça n’ont pas seulement tout volé dans la maison, ils ont aussi mis le feu à la maison. » Finalement, les coûts liés à l’enquête et au remède ont atteint au moins 15 millions de dollars pour Sony, sans compter les pertes indirectes.
Ensuite, en 2016, un groupe de hackers extrêmement similaire au Lazarus Group a piraté la Banque du Bangladesh dans l’intention de voler près d’un milliard de dollars. Pendant un an, les hackers ont mené des campagnes d’ingénierie sociale contre les employés de la banque, obtenant finalement un accès à distance et se déplaçant dans le réseau interne jusqu’à atteindre l’ordinateur chargé d’interagir avec le réseau SWIFT. À partir de là, ils ont attendu le moment idéal : la Banque du Bangladesh ferme le week-end le jeudi, tandis que la Réserve fédérale de New York ferme le vendredi. Jeudi soir, heure locale au Bangladesh, les attaquants ont utilisé leur accès au réseau SWIFT pour envoyer 36 demandes de virement distinctes à la Réserve fédérale de New York, alors en pleine journée de jeudi. Dans les 24 heures suivantes, ces virements ont été transférés à la Rizal Commercial Banking Corporation (RCBC) aux Philippines, qui a commencé à agir. Lorsque la Banque du Bangladesh a rouvert, elle a découvert l’attaque et tenté d’avertir la RCBC d’arrêter les transactions en cours, mais découvrit que la RCBC était fermée pour le Nouvel An lunaire.
Enfin, en 2017, l’attaque massive de rançongiciel WannaCry 2.0 a ravagé des secteurs entiers à travers le monde, et une partie de cette attaque a été attribuée au Lazarus Group. On estime que WannaCry a causé des pertes de plusieurs milliards de dollars. Il exploitait un 0day de Microsoft Windows initialement développé par la NSA, chiffrant non seulement les appareils locaux, mais se propageant également à d'autres appareils accessibles, infectant finalement des centaines de milliers d’appareils dans le monde. Heureusement, grâce à Marcus Hutchins, chercheur en sécurité qui a découvert et activé le bouton d’arrêt en huit heures, les dégâts ont pu être limités.
Au fil du temps, le Lazarus Group a démontré une capacité technique et une exécution exceptionnelles, et l’un de ses objectifs est clairement de générer des revenus pour le régime nord-coréen. Par conséquent, ce n’était qu’une question de temps avant qu’ils ne se tournent vers l’industrie des cryptomonnaies.
Dérivés
Avec le temps, alors que Lazarus Group devenait le terme médiatique privilégié pour désigner les activités cybernétiques nord-coréennes, l’industrie de la cybersécurité a créé des noms plus précis pour distinguer les différentes activités du groupe. APT38 en est un exemple : apparu vers 2016 suite à une scission du Lazarus Group, il s’est spécialisé dans la criminalité financière, ciblant d’abord les banques (comme celle du Bangladesh), puis les cryptomonnaies. Plus tard, en 2018, une nouvelle menace appelée AppleJeus a été découverte, diffusant des logiciels malveillants ciblant les utilisateurs de cryptomonnaies. Enfin, dès 2018, lorsque l’OFAC a annoncé pour la première fois des sanctions contre deux sociétés-écrans utilisées par des Nord-Coréens, des individus se faisant passer pour des travailleurs IT s’étaient déjà infiltrés dans l’industrie technologique.
Travailleurs informatiques nord-coréens
Bien que les premières mentions documentées des travailleurs IT nord-coréens remontent aux sanctions de l’OFAC en 2018, le rapport de Unit 42 en 2023 offre une analyse plus approfondie et identifie deux acteurs distincts : Contagious Interview et Wagemole.
Contagious Interview se fait passer pour des recruteurs de grandes entreprises, piégeant des développeurs dans de fausses procédures d’entretien. Les candidats potentiels sont ensuite invités à cloner un dépôt pour le débogage local, présenté comme un test de codage, mais contenant en réalité une porte dérobée. Une fois exécutée, cette porte dérobée donne aux attaquants le contrôle de la machine compromise. Cette campagne est toujours active, avec une occurrence récente enregistrée le 11 août 2024.
En revanche, les agents Wagemole n’ont pas pour but principal d’embaucher des victimes, mais plutôt d’être embauchés par des entreprises, où ils travaillent comme des ingénieurs ordinaires – bien que potentiellement peu performants. Néanmoins, il existe des cas documentés où ces travailleurs ont exploité leurs droits d’accès pour mener des attaques, comme dans l’affaire Munchables, où un employé lié à des activités nord-coréennes a utilisé son accès privilégié aux contrats intelligents pour voler tous les actifs.
Le niveau de sophistication des agents Wagemole varie : de simples modèles de CV génériques et une réticence à participer à des entretiens vidéo, à des CV hautement personnalisés, des entretiens vidéo falsifiés par deepfake, et même des pièces d’identité comme des permis de conduire ou des factures d’électricité. Dans certains cas, les agents ont infiltré une organisation pendant jusqu’à un an avant d’exploiter leurs accès pour compromettre d’autres systèmes ou effectuer un retrait total des fonds.
AppleJeus
AppleJeus se concentre principalement sur la diffusion de logiciels malveillants, excellant dans les attaques complexes de chaîne d’approvisionnement. En 2023, l’attaque de la chaîne d’approvisionnement de 3CX a potentiellement exposé plus de 12 millions d’utilisateurs du logiciel VoIP 3CX à une infection, bien que l’on ait ensuite découvert que 3CX lui-même avait été victime d’une attaque similaire visant l’un de ses fournisseurs amont, Trading Technologies.
Dans l’industrie des cryptomonnaies, AppleJeus a initialement diffusé des logiciels malveillants présentés comme des applications légitimes (par exemple, des logiciels de trading ou des portefeuilles de cryptomonnaies). Cependant, avec le temps, leur stratégie a évolué. En octobre 2024, Radiant Capital a été compromis par un acteur malveillant se faisant passer pour un prestataire de confiance, envoyant un logiciel malveillant via Telegram. Mandiant a attribué cet incident à AppleJeus.
Dangerous Password
Dangerous Password est responsable d’attaques basées sur l’ingénierie sociale, de faible complexité, contre l’industrie des cryptomonnaies. Dès 2019, JPCERT/CC a documenté que Dangerous Password envoyait des e-mails de phishing comportant des pièces jointes attrayantes à télécharger. Ces dernières années, Dangerous Password a été impliqué dans des e-mails de phishing imitant des personnalités reconnues du secteur, avec des sujets tels que « Les stablecoins et les actifs cryptos présentent un risque énorme ».
Aujourd’hui, Dangerous Password continue d’envoyer des e-mails de phishing, mais s’est également étendu à d’autres plateformes. Par exemple, Radiant Capital a signalé avoir reçu un message de phishing via Telegram, provenant d’une personne se faisant passer pour un chercheur en sécurité, distribuant un fichier nommé « Penpie_Hacking_Analysis_Report.zip ». De plus, des utilisateurs ont rapporté être contactés par des personnes se faisant passer pour des journalistes ou des investisseurs, proposant un appel via une application de visioconférence anodine. Comme Zoom, ces applications téléchargent un installateur ponctuel, mais à l’exécution, elles installent un logiciel malveillant sur l’appareil.
TraderTraitor
TraderTraitor est le hacker nord-coréen le plus sophistiqué ciblant l’industrie des cryptomonnaies, ayant mené des attaques contre Axie Infinity et Rain.com. TraderTraitor cible presque exclusivement des bourses ou entreprises détenant de grandes réserves, et n’utilise pas de vulnérabilités 0-day contre ses cibles, mais des techniques très élaborées de phishing ciblé. Dans le cas du piratage d’Axie Infinity, TraderTraitor a contacté via LinkedIn un ingénieur senior, l’a convaincu d’accepter une série d’entretiens, puis lui a envoyé une « proposition » contenant un logiciel malveillant. Ensuite, lors du piratage de WazirX, un agent de TraderTraitor a compromis un composant encore indéterminé du pipeline de signature, puis a vidé le portefeuille chaud de la bourse par des dépôts et retraits répétés, forçant les ingénieurs de WazirX à rééquilibrer depuis leur portefeuille froid vers le portefeuille chaud. Lorsque les ingénieurs de WazirX ont tenté de signer la transaction de transfert, ils ont été piégés pour signer une transaction transférant le contrôle du portefeuille froid à TraderTraitor. Cela ressemble fortement à l’attaque contre Bybit en février 2025, où TraderTraitor a d’abord compromis l’infrastructure de Safe{Wallet} par ingénierie sociale, puis déployé un JavaScript malveillant sur l’interface frontale de Safe Wallet spécifiquement conçu pour cibler le portefeuille froid de Bybit. Lorsque Bybit a tenté de rééquilibrer ses portefeuilles, le code malveillant s’est activé, amenant les ingénieurs de Bybit à signer une transaction transférant le contrôle du portefeuille froid à TraderTraitor.
Rester en sécurité
La Corée du Nord a démontré sa capacité à utiliser des vulnérabilités 0-day contre ses adversaires, mais il n’existe actuellement aucun cas documenté ou connu d’utilisation de 0-day contre l’industrie des cryptomonnaies. Par conséquent, pour presque toutes les menaces nord-coréennes, les recommandations classiques de sécurité s’appliquent.
Pour les particuliers, appliquez le bon sens et soyez vigilants face à l’ingénierie sociale. Par exemple, si quelqu’un prétend détenir des informations hautement confidentielles et souhaite les partager avec vous, restez prudent. Ou, si on vous met sous pression temporelle pour télécharger et exécuter un logiciel, réfléchissez : essaie-t-on de vous placer dans une situation où vous ne pouvez pas penser logiquement ?
Pour les organisations, appliquez autant que possible le principe du moindre privilège. Limitez le nombre de personnes ayant accès aux systèmes sensibles, assurez-vous qu’elles utilisent un gestionnaire de mots de passe et une authentification à deux facteurs (2FA). Séparez strictement les appareils personnels et professionnels, installez un gestionnaire de périphériques mobiles (MDM) et un logiciel de détection et de réponse aux endpoints (EDR) sur les appareils professionnels afin d’assurer à la fois la prévention avant intrusion et la visibilité après intrusion.
Hélas, pour les grandes bourses ou autres cibles à haute valeur, TraderTraitor peut causer des dommages considérables même sans recourir à des vulnérabilités 0-day. Il est donc essentiel de prendre des mesures supplémentaires pour garantir l’absence de point de défaillance unique, afin qu’une seule intrusion ne provoque pas la perte totale des fonds.
Cependant, même si tout échoue, l’espoir subsiste. Le FBI dispose d’un département spécialisé dans le suivi et la prévention des intrusions nord-coréennes, qui mène depuis des années des alertes aux victimes. Récemment, j’ai eu le plaisir d’aider les agents de ce service à entrer en contact avec des cibles potentielles nord-coréennes. Par conséquent, pour être prêt au pire, assurez-vous d’avoir des coordonnées publiques, ou d’être suffisamment connecté au sein de l’écosystème (par exemple via SEAL 911), afin qu’un message traversant le graphe social puisse vous atteindre le plus rapidement possible.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
Paradigm
