Le groupe Lazarus s’est fait un nom grâce à plusieurs hacks et de nombreux liens avec le gouvernement nord-coréen. Après que beaucoup aient lié le groupe à des cyberattaques planifiées, il semble se préparer à son attaque contre l’industrie de la cryptographie.
Voler les informations confidentielles des utilisateurs
Cette semaine, la société finlandaise de cybersécurité FSecure a expliqué dans un rapport que le groupe Lazarus avait commencé à utiliser le portail d’emploi professionnel LinkedIn pour cibler les talents de la blockchain et de la cryptographie. Selon le rapport, le groupe a commencé à publier de fausses offres d’emploi sur le site, dans l’espoir de voler des informations à partir de là.
L’enquête de Bitcoin Machine est intervenue après qu’une personne travaillant dans le secteur de la blockchain a signalé un e-mail de phishing qui ressemblait à une offre d’emploi légitime. La publication comprenait un document intitulé «Description du poste de BlockVerify Group». Une fois ouvert, le document a lancé une attaque de malware instantanément.
L’entreprise de cybersécurité a réussi à retracer les caractéristiques du document. Ils ont constaté qu’il était étonnamment similaire au code accessible au public sur le portail de sécurité Internet VirusTotal. Selon les données sur le virus, il a été construit l’année dernière et a reçu des rapports de 37 moteurs antivirus.
Un représentant de FSecure a expliqué que l’objectif du malware était de récupérer les informations de connexion des victimes. Les pirates utiliseront ces informations d’identification pour accéder au réseau de la victime et trouver des moyens de voler des crypto-monnaies.
La société de cybersécurité a également partagé le sentiment que le groupe avait fait cela à la demande de la Corée du Nord. Comme il l’a expliqué, la nation isolée a tourné son attention vers les entreprises dans et hors de l’industrie de la cryptographie.
Liens du groupe Lazarus avec la Corée du Nord
Les exploits de la Corée du Nord avec le vol de crypto-monnaies et le piratage d’entités étrangères ont été bien documentés. Le pays asiatique a été le destinataire de sanctions économiques importantes de la part des États-Unis et du mépris de la communauté internationale. Il s’est tourné vers les cyberattaques pour financer son programme d’armement.
Les chiffres derrière les exploits de la Corée du Nord ont également été stupéfiants. L’année dernière, Reuters a rapporté que le pays avait obtenu 2 milliards de dollars en piratant les bourses étrangères et les banques de crypto-monnaie. La source d’information a obtenu les statistiques du comité des sanctions contre la Corée du Nord du Conseil de sécurité des Nations Unies.
Quant au groupe Lazarus, ses exploits de piratage ne sont pas non plus nouveaux. En 2018, la société de cybersécurité Group-IB a affirmé que le groupe de piratage était responsable de 65% de toutes les crypto-monnaies volées entre 2017 et 2018.
Bien que le gouvernement nord-coréen ait nié les liens avec le groupe de piratage informatique, les relations ont été importantes. Cette semaine, l’armée américaine a publié un rapport affirmant que Pyongyang avait développé un réseau de piratage informatique avec plus de 6 000 membres. Les pirates informatiques forment un département gouvernemental connu sous le nom de Bureau 121, qui supervise quatre grands groupes de cybercriminalité.
Avec le groupe Lazarus, le rapport a également mis en évidence le groupe Bluenoroff – une organisation qui s’occupe de la criminalité financière et qui compte plus de 1700 membres. Tous les membres mènent des opérations depuis la Corée du Nord et sont dispersés dans plusieurs autres pays – dont la Russie, l’Inde, la Chine, la Biélorussie, etc.
