Transférer le titre original 'Paradigm: Révéler la menace du groupe de pirates informatiques nord-coréen Lazarus Group'

Une discussion sur le groupe Lazarus - le coupable derrière le piratage de Bybit - du point de vue de la structure organisationnelle, des méthodes d'attaque et des stratégies de défense.

Un matin de février, les lumières se sont allumées dans le groupe de discussion SEAL 911. Nous avons regardé avec confusion alors que Bybit déplaçait plus de 1 milliard de dollars de tokens de leur portefeuille froid vers une nouvelle adresse, puis commençait rapidement à liquider plus de 200 millions de LST. En quelques minutes, grâce à la communication avec l'équipe Bybit et à une analyse indépendante (impliquant le multisig et une implémentation de Safe Wallet précédemment vérifiée, maintenant remplacée par un contrat nouvellement déployé et non vérifié), nous avons confirmé que ce n'était pas une maintenance de routine. Quelqu'un venait de lancer l'un des plus grands piratages de l'histoire de la cryptomonnaie, et nous étions assis au premier rang.

Alors qu'une partie de l'équipe (avec la communauté d'investigation plus large) a commencé à suivre les fonds et à informer les bourses partenaires, d'autres ont essayé de comprendre ce qui s'était passé exactement et si d'autres fonds étaient en danger. Heureusement, l'identification du coupable était facile. Au cours des dernières années, un seul acteur de la menace connu a réussi à voler des milliards d'échanges de crypto : la Corée du Nord, également connue sous le nom de la RPDC.

Cependant, au-delà de cela, nous avions peu d'éléments sur lesquels nous baser. En raison de la nature rusée et des compétences d'obscurcissement exceptionnelles des hackers nord-coréens, déterminer la cause profonde de la violation - encore moins quelle équipe spécifique à l'intérieur de la Corée du Nord était responsable - était extrêmement difficile. Tout ce que nous avions était du renseignement existant suggérant que les opérateurs de la RPDC se reposent souvent sur des tactiques d'ingénierie sociale pour infiltrer les échanges de crypto. Sur cette base, nous avons supposé qu'ils avaient compromis les signataires multisig de Bybit et déployé des logiciels malveillants pour interférer avec le processus de signature.

Comme il s'est avéré, cette hypothèse était complètement fausse. Quelques jours plus tard, nous avons découvert que la Corée du Nord avait en réalité compromis l'infrastructure de Safe Wallet elle-même et déployé une surcharge malveillante personnalisée ciblant spécifiquement Bybit. La complexité de cette attaque dépassait tout ce que quiconque avait anticipé ou préparé, posant un défi sérieux à de nombreux modèles de sécurité existants sur le marché.

Les hackers nord-coréens représentent une menace croissante pour notre industrie. Nous ne pouvons pas vaincre un ennemi que nous ne comprenons pas. Bien qu'il existe de nombreux incidents documentés et des articles sur les opérations cybernétiques nord-coréennes, il est difficile de les regrouper tous. J'espère que cet aperçu pourra aider à fournir une image plus claire de la manière dont la Corée du Nord opère, de leurs stratégies et procédures, et en fin de compte nous aider à mettre en œuvre les bonnes mesures d'atténuation.

Structure organisationnelle

Une des plus grandes idées fausses qui doivent être abordées est la manière de classer et de nommer les activités cybernétiques étendues de la Corée du Nord. Bien qu'il soit acceptable d'utiliser le terme "Lazarus Group" de manière familière comme une étiquette générale, une terminologie plus précise est utile lorsqu'il s'agit de discuter en détail de la menace cybernétique systémique posée par la Corée du Nord.

Tout d'abord, il est utile de comprendre l'“organigramme” de la Corée du Nord. En haut se trouve le parti politique au pouvoir, le seul, le Parti des travailleurs de Corée (PTC), qui supervise toutes les institutions de l'État. Cela inclut l'Armée populaire de Corée (APC) et le Comité central. Au sein de l'APC se trouve le Département de l'État-major général (GSD), où est logé le Bureau général de reconnaissance (RGB). Sous le Comité central se trouve le Département de l'Industrie des munitions (MID).

Le RGB est responsable de presque toutes les opérations cybernétiques de la Corée du Nord, y compris presque toutes les activités observées dans l'industrie de la cryptographie. En plus du tristement célèbre groupe Lazarus, d'autres acteurs de la menace provenant du RGB incluent AppleJeus, APT38, DangerousPassword et TraderTraitor. D'autre part, le MID supervise le programme de missiles nucléaires de la Corée du Nord et est la principale source des travailleurs en TI à l'étranger du pays. La communauté du renseignement identifie ces acteurs comme Contagious Interview et Wagemole.

Groupe Lazarus

Le groupe Lazarus est une organisation de piratage très sophistiquée. Les experts en cybersécurité estiment que certains des cyberattaques les plus importantes et les plus destructrices de l'histoire ont été menées par ce groupe. En 2016, Novetta a identifié le groupe Lazarus lors de l'analyse du piratage de Sony Pictures Entertainment.

En 2014, Sony produisait l'action-comédie The Interview, dont l'intrigue centrale impliquait l'humiliation et l'assassinat éventuel de Kim Jong-un. Compréhensible, cela n'a pas été bien accueilli par le régime nord-coréen, qui a riposté en piratant le réseau de Sony, en volant plusieurs téraoctets de données, en divulguant des centaines de gigaoctets d'informations confidentielles ou sensibles et en supprimant les originaux. Comme l'a dit alors le PDG Michael Lynton : "Les personnes qui ont fait cela n'ont pas seulement tout volé dans la maison, elles ont brûlé la maison." Sony a finalement dépensé au moins 15 millions de dollars pour l'enquête et la remédiation liées à l'attaque, et les dommages réels auraient pu être encore plus importants.

En 2016, un groupe de pirates informatiques présentant des similitudes frappantes avec le groupe Lazarus a infiltré la Banque du Bangladesh dans une tentative de vol de près de 1 milliard de dollars. Au cours de l'année, les pirates ont mené des attaques d'ingénierie sociale sur le personnel de la banque, obtenant finalement un accès à distance et se déplaçant latéralement dans le réseau jusqu'à atteindre l'ordinateur qui interfaçait avec le système SWIFT. À partir de là, ils ont attendu l'opportunité parfaite : le Bangladesh observe son week-end le jeudi, tandis que la Réserve fédérale de New York prend congé le vendredi. Le jeudi soir, heure locale, les attaquants ont utilisé leur accès SWIFT pour envoyer 36 demandes de transfert distinctes à la Fed de New York - tôt le vendredi matin, heure locale. Au cours des 24 heures suivantes, la Fed a transféré les virements à la Banque commerciale Rizal (RCBC) aux Philippines, qui a commencé à les traiter. Au moment où la Banque du Bangladesh a rouvert, elle a découvert la violation et a tenté de contacter la RCBC pour stopper les transactions, pour découvrir que la banque était fermée pour les vacances du Nouvel An lunaire.

Ensuite, en 2017, l'attaque généralisée par ransomware WannaCry 2.0 a ravagé des industries à travers le monde, avec une attribution partielle au groupe Lazarus. Estimé avoir causé des milliards de pertes, WannaCry a exploité une vulnérabilité zero-day de Microsoft Windows initialement développée par la NSA. Il a chiffré les machines locales et s'est propagé à travers les appareils accessibles, infectant finalement des centaines de milliers de systèmes dans le monde entier. Heureusement, le chercheur en sécurité Marcus Hutchins a découvert et activé un interrupteur d'arrêt dans les huit heures, limitant l'ampleur des dégâts.

Tout au long de son histoire, le groupe Lazarus a fait preuve d'une capacité technique remarquable et d'une efficacité opérationnelle. L'un de leurs principaux objectifs est de générer des revenus pour le régime nord-coréen. Il n'a fallu que peu de temps avant qu'ils ne se tournent vers l'industrie des cryptomonnaies.

Lazarus Spin-Offs and Evolving Threats

Au fil du temps, le groupe Lazarus est devenu un terme fourre-tout couramment utilisé par les médias pour décrire les activités cybernétiques de la Corée du Nord, l'industrie de la cybersécurité a commencé à développer des noms plus précis pour le groupe Lazarus et les opérations spécifiques liées à la Corée du Nord. APT38 en est un exemple. Vers 2016, il s'est détaché du groupe Lazarus pour se concentrer spécifiquement sur les crimes financiers, ciblant initialement les banques (comme la Banque du Bangladesh) et, plus tard, les cryptomonnaies. En 2018, une nouvelle menace connue sous le nom d'AppleJeus a été découverte distribuant des logiciels malveillants ciblant les utilisateurs de cryptomonnaies. Également en 2018, lorsque l'OFAC a annoncé pour la première fois des sanctions contre deux sociétés écrans utilisées par des Nord-Coréens, il était déjà évident que des opérateurs nord-coréens se faisant passer pour des informaticiens avaient infiltré l'industrie technologique.

Travailleurs informatiques nord-coréens

Bien que la première mention enregistrée des travailleurs nord-coréens de l’informatique remonte aux sanctions de l’OFAC de 2018, le rapport de 2023 de l’Unité 42 a fourni un compte rendu plus détaillé et identifié deux acteurs de menace distincts : Contagious Interview et Wagemole.

L'interview contagieuse est connue pour s'impersonner en tant que recruteurs de grandes entreprises pour attirer les développeurs dans de faux processus d'entretien. Les candidats potentiels sont invités à cloner un dépôt pour le débogage local - présenté comme faisant partie d'un défi de codage - mais le dépôt contient une porte dérobée. L'exécution du code donne aux attaquants le contrôle de la machine affectée. Cette activité est en cours, avec le dernier incident enregistré le 11 août 2024.

Wagemole, d'autre part, ne piège pas les victimes - elles sont embauchées par de vraies entreprises, se fondant dans la masse en tant qu'ingénieurs ordinaires, bien que souvent moins productifs. Cela dit, il existe des cas documentés de travailleurs en informatique utilisant leur accès à des fins malveillantes. Dans l'incident Munchables, un employé lié aux opérations nord-coréennes a exploité un accès privilégié aux contrats intelligents et a volé tous les actifs.

Le niveau de sophistication parmi les agents de Wagemole varie largement. Certains utilisent des modèles de CV génériques et refusent les appels vidéo, tandis que d'autres soumettent des CV personnalisés, participent à des entretiens vidéo deepfake et fournissent des faux papiers d'identité tels que des permis de conduire et des factures de services publics. Dans certains cas, les agents sont restés à l'intérieur des organisations victimes pendant jusqu'à un an avant de tirer parti de leur accès pour infiltrer d'autres systèmes et/ou retirer complètement de l'argent.

AppleJeus

AppleJeus se concentre principalement sur la distribution de logiciels malveillants et est compétent dans l'exécution d'attaques complexes de la chaîne logistique. En 2023, l'attaque de la chaîne logistique 3CX a permis aux acteurs de la menace d'infecter potentiellement plus de 12 millions d'utilisateurs du logiciel VoIP 3CX. Il a ensuite été découvert que 3CX lui-même avait été affecté par une attaque de la chaîne logistique sur l'un de ses fournisseurs en amont—Trading Technologies 13.

Dans l'industrie de la cryptographie, AppleJeus a initialement propagé des logiciels malveillants déguisés en logiciels légitimes, tels que des plateformes de trading ou des portefeuilles de cryptomonnaie. Cependant, avec le temps, leurs tactiques ont évolué. En octobre 2024, Radiant Capital a été compromis par un acteur de menace se faisant passer pour un entrepreneur de confiance qui a livré des logiciels malveillants via Telegram. Mandiant a attribué cette attaque à AppleJeus.

Mot de passe dangereux

Le mot de passe dangereux est responsable d'attaques d'ingénierie sociale à faible complexité ciblant l'industrie de la cryptomonnaie. Dès 2019, JPCERT/CC a documenté que le mot de passe dangereux envoyait des e-mails d'hameçonnage contenant des pièces jointes alléchantes à télécharger. Ces dernières années, le mot de passe dangereux a usurpé des figures bien connues de l'espace crypto pour envoyer des e-mails d'hameçonnage avec des lignes d'objet telles que "Gros risques dans les stablecoins et les actifs cryptographiques."

Aujourd'hui, le mot de passe dangereux continue d'envoyer des e-mails d'hameçonnage, mais a élargi ses activités à d'autres plateformes. Par exemple, Radiant Capital a signalé avoir reçu un message d'hameçonnage via Telegram de la part de quelqu'un se faisant passer pour un chercheur en sécurité. Le message comprenait un fichier nommé "Penpie_Hacking_Analysis_Report.zip". De plus, des utilisateurs ont signalé avoir été contactés par des personnes se faisant passer pour des journalistes ou des investisseurs qui demandent à planifier un appel en utilisant des applications de visioconférence obscures. Comme Zoom, ces applications incitent les utilisateurs à télécharger un programme d'installation unique, mais lors de l'exécution, elles installent un logiciel malveillant sur l'appareil de l'utilisateur.

TraderTraitor

TraderTraitor est le groupe de pirates nord-coréens le plus sophistiqué ciblant l’industrie de la crypto-monnaie et a été lié à des attaques sur des plateformes comme Axie, Infinity et Rain.com. TraderTraitor cible presque exclusivement les plateformes d’échange et les entreprises disposant d’importantes réserves et n’utilise pas de vulnérabilités zero-day. Au lieu de cela, il utilise des techniques de spear-phishing très sophistiquées pour compromettre ses victimes. Lors de la violation d’Axie Infinity, TraderTraitor a contacté un ingénieur senior via LinkedIn et a réussi à le convaincre de passer une série d’entretiens, envoyant finalement une « offre d’emploi » qui a livré la charge utile du logiciel malveillant. Lors de l’attaque WazirX, les agents de TraderTraitor ont compromis un composant non identifié dans le pipeline de signature des transactions. Ils ont ensuite vidé le portefeuille chaud de la bourse en déposant et en retirant des fonds à plusieurs reprises, ce qui a incité les ingénieurs à rééquilibrer le portefeuille froid. Lorsque les ingénieurs de WazirX ont tenté de signer une transaction pour transférer les fonds, ils ont été amenés à autoriser une transaction qui a transféré le contrôle du portefeuille froid à TraderTraitor. Cela ressemble beaucoup à l’attaque de février 2025 contre Bybit, au cours de laquelle TraderTraitor a d’abord compromis l’infrastructure Safe{Wallet} par le biais de l’ingénierie sociale, puis a déployé du JavaScript malveillant dans l’interface Safe Wallet spécifiquement utilisée par le portefeuille froid de Bybit. Lorsque Bybit a tenté de rééquilibrer son portefeuille, le code malveillant a été déclenché, ce qui a amené les ingénieurs de Bybit à signer sans le savoir une transaction qui transférait le contrôle du portefeuille froid à TraderTraitor.

Rester en sécurité

La Corée du Nord a démontré la capacité de déployer des vulnérabilités zero-day contre ses adversaires, mais jusqu'à présent, il n'y a aucun incident enregistré ou connu d'utilisation de zero-days contre l'industrie des cryptomonnaies. Par conséquent, les conseils de sécurité standard s'appliquent à presque toutes les menaces posées par les hackers nord-coréens.

Pour les particuliers, le bon sens et la vigilance contre l'ingénierie sociale sont essentiels. Par exemple, si quelqu'un prétend détenir des informations hautement confidentielles et propose de les partager avec vous, agissez avec prudence. Ou, si quelqu'un applique une pression temporelle et vous presse de télécharger et d'exécuter un logiciel, réfléchissez à savoir s'ils essaient de vous empêcher de penser rationnellement.

Pour les organisations, appliquez le principe du moindre privilège autant que possible. Minimisez le nombre de personnes ayant accès aux systèmes sensibles et assurez-vous qu'elles utilisent des gestionnaires de mots de passe et une authentification à deux facteurs (2FA). Gardez les appareils personnels et professionnels séparés, et installez des outils de gestion des appareils mobiles (MDM) et de détection et réponse aux menaces (EDR) sur les machines de travail pour maintenir à la fois la sécurité avant une violation et la visibilité après une violation.

Malheureusement, pour les grandes bourses d'échange ou d'autres cibles de grande valeur, TraderTraitor peut encore causer plus de dommages que prévu même sans utiliser de vulnérabilités zero-day. Par conséquent, des précautions supplémentaires doivent être prises pour éliminer les points uniques de défaillance, de sorte qu'une seule compromission ne se traduise pas par une perte financière totale.

Cependant, même si tout échoue, il y a de l'espoir. Le FBI dispose d'une équipe dédiée au suivi et à la prévention des intrusions nord-coréennes et informe activement les victimes depuis des années. J'ai récemment été ravi d'aider cette équipe à entrer en contact avec des cibles potentielles nord-coréennes. Ainsi, pour se préparer au pire, assurez-vous d'avoir des informations de contact disponibles publiquement ou de maintenir des relations solides dans l'écosystème (par exemple, SEAL 911) afin que les alertes critiques puissent vous parvenir le plus rapidement possible à travers le graphe social.

Avertissement :

1. Cet article est repris de [GateIO]ForesightNews]. Transmettre le titre original 'Paradigm: Révéler la menace du groupe de pirates informatiques nord-coréen Lazarus Group'. Tous les droits d'auteur appartiennent à l'auteur original [samczsun, Partenaire de recherche chez Paradigm]. Si vous avez des objections à cette réimpression, veuillez contacter lePortail Apprendreéquipe, et ils s'en occuperont rapidement selon les procédures pertinentes.

2. Avertissement : Les points de vue et opinions exprimés dans cet article ne représentent que les points de vue personnels de l'auteur et ne constituent pas un conseil en investissement.

3. Les traductions de l'article dans d'autres langues sont réalisées par l'équipe Gate Learn. Sans mentionnerGate.io, il est interdit de copier, distribuer ou plagier les versions traduites.