Le FBI a mis en garde aujourd’hui contre des groupes de piratage nord-coréens ciblant agressivement les entreprises de crypto-monnaie et leurs employés dans des attaques sophistiquées d’ingénierie sociale pour déployer des logiciels malveillants conçus pour voler leurs actifs cryptographiques.
Selon le FBI, leurs tactiques d’ingénierie sociale sont très ciblées et difficiles à détecter, même pour ceux qui ont une expertise avancée en cybersécurité.
Au cours des derniers mois, des acteurs de la menace nord-coréens ont été observés en train de mener des recherches approfondies sur des cibles potentielles, en se concentrant sur les personnes connectées à des fonds négociés en bourse (ETF) de crypto-monnaie et à d’autres produits financiers connexes. Ce niveau de mise en scène préopérationnelle suggère qu’ils se préparent à d’éventuelles attaques contre des sociétés associées à des ETF de crypto-monnaie et à des actifs similaires.
L’agence chargée de l’application de la loi a également averti que les organisations traitant d’importantes quantités de crypto-monnaie risquaient également d’être ciblées par des groupes de piratage nord-coréens visant à violer les réseaux et à voler des fonds.
Parmi les tactiques d’ingénierie sociale utilisées par ces groupes parrainés par l’État, le FBI met en évidence leurs attaques méticuleusement planifiées, qui commencent par identifier des entreprises spécifiques de DéFi et de crypto-monnaie à cibler. Lors de la prochaine étape de l’attaque, ils ciblent leurs employés dans des attaques d’ingénierie sociale qui impliquent souvent des offres de nouveaux emplois ou opportunités d’investissement, exploitant des informations personnelles détaillées pour renforcer leur crédibilité et leur attrait.
« Les acteurs communiquent généralement avec les victimes en anglais courant ou presque couramment et connaissent bien les aspects techniques du domaine de la crypto-monnaie », prévient le FBI.
« Les cyberacteurs malveillants nord-coréens se font régulièrement passer pour un éventail d’individus, y compris des contacts qu’une victime peut connaître personnellement ou indirectement. Les usurpations d’identité peuvent impliquer des recruteurs généraux sur des sites Web de réseautage professionnel ou des personnalités associées à certaines technologies. »
Les attaquants connaissent bien les aspects techniques de l’industrie de la crypto-monnaie et ont également été observés en train d’utiliser des images volées et des sites Web conçus par des professionnels pour rendre leurs stratagèmes légitimes à première vue.
Le FBI a également fourni une liste d’indicateurs potentiels de l’activité d’ingénierie sociale nord-coréenne et des meilleures pratiques que les entreprises du secteur de la crypto-monnaie et leurs employés devraient suivre pour réduire le risque de compromission dans de telles attaques.
Depuis le début de l’année, le FBI a également mis en garde contre des escrocs se faisant passer pour des employés d’échanges cryptographiques pour cibler des victimes sans méfiance et des cybercriminels se faisant passer pour des cabinets d’avocats offrant des services de récupération de crypto-monnaie.
Il a également mis en garde contre les fausses offres d’emploi à distance utilisées pour voler de la crypto-monnaie et contre l’utilisation de services de transfert de crypto-monnaie sans licence qui peuvent entraîner des pertes financières si les forces de l’ordre démantèlent ces plateformes.
Des milliards de cryptomonnaies volées depuis 2017
Comme l’ont révélé Recorded Future analysts en décembre, des groupes de piratage d’État soutenus par la Corée du Nord comme Kimsuky, Lazarus Group, Andariel et d’autres ont volé une valeur estimée à 3 milliards de dollars de crypto-monnaie dans une longue série de piratages ciblant l’industrie de la cryptographie depuis 2017.
« Rien qu’en 2022, les acteurs de la menace nord-coréens ont été accusés d’avoir volé 1,7 milliard de dollars en crypto-monnaie, soit 5% de l’économie du pays ou 45% de son budget militaire », a déclaré Recorded Future.
Depuis le vol de 82,7 millions de Sud-coréens échanges Bithumb, Youbit, et Yapizon en 2017, les pirates Nord-coréens ont été liés à de nombreux autres crypto heists, y compris celles à l’encontre de l’Harmonie blockchain pont (100 millions de dollars de pertes), le Nomade pont (190 millions de dollars en pertes), le Qubit Finances pont (80 millions de dollars de pertes), Atomique en Portefeuille (35 millions de dollars), AlphaPo (60 millions de dollars dans deux attaques distinctes), et CoinsPaid (37 millions de dollars).
Le FBI a également lié le piratage du pont réseau Ronin d’Axie Infinity, le plus grand piratage de crypto jamais réalisé, qui a entraîné le vol de 620 millions de dollars, aux groupes de piratage nord-coréens Lazarus et BlueNorOff (alias APT38).