North Korean Hackers Target Japanese Cryptocurrency Exchange
Les hackers nord-coréens liés au célèbre groupe de piratage Lazarus ont été identifiés comme étant responsables du vol de plus de 4 500 bitcoins de la bourse japonaise de cryptomonnaie DMM Bitcoin plus tôt cette année.
Analyse de l’attaque
Le Bureau Fédéral d’Investigation, en collaboration avec le Centre de Lutte contre la Cybercriminalité du Département de la Défense et l’Agence Nationale de la Police du Japon, a révélé que les hackers, se faisant appeler TraderTraitor, une branche de Lazarus, ont réussi à voler l’équivalent de 308 millions de dollars à DMM en utilisant une technique sophistiquée.
Une enquête a révélé que, fin mars 2024, un acteur cybernétique nord-coréen se faisant passer pour un recruteur sur LinkedIn a contacté un employé de Ginco, une entreprise japonaise de logiciels de portefeuille de cryptomonnaie. L’acteur a envoyé au cible, qui avait accès au système de gestion de portefeuille de Ginco, un lien URL vers un script Python malveillant, déguisé en test préalable à l’emploi situé sur une page GitHub. La victime a copié le code Python sur sa page GitHub personnelle et a été compromise par la suite.
La Méthode de Vol
Les hackers de TraderTraitor ont ensuite attendu patiemment jusqu’à mai pour exploiter leur accès. Pour voler les bitcoins, ils ont exploité des informations de cookies de session pour se faire passer pour l’employé compromis et ont réussi à accéder au système de communication non chiffré de Ginco. Avec cet accès, il est estimé que les hackers ont manipulé une demande de transaction légitime d’un employé de DMM, ce qui a entraîné le vol de 4 502,9 bitcoins.
Les bitcoins volés ont ensuite été transférés vers des portefeuilles contrôlés par TraderTraitor, conduisant finalement au gouvernement nord-coréen.
Réactions des Autorités
Le FBI, l’Agence Nationale de la Police du Japon et d’autres partenaires internationaux continueront de lutter contre l’utilisation d’activités illicites par la Corée du Nord, y compris le cybercrime et le vol de cryptomonnaie, pour générer des revenus pour le régime. Cette attaque souligne une nouvelle fois la menace que représente Lazarus pour les bourses de cryptomonnaie.
La participation de la Corée du Nord et de Lazarus dans cette attaque souligne une fois de plus la nécessité de renforcer la sécurité des échanges de cryptomonnaie contre de telles menaces.
Source : siliconangle.com