Les pirates nord-coréens ont récemment intensifié leurs activités malveillantes en ciblant spécifiquement les sociétés sud-coréennes de cryptomonnaie. Confirmé par Kaspersky, un nouveau malware, baptisé “Durian”, a surgi dans des attaques ciblées, contre au moins deux entreprises du secteur.
L’exploitation de logiciels de sécurité légitimes des pirates nord-coréens
Ce qui rend ces attaques encore plus sournoises, c’est l’utilisation par les pirates d’un logiciel de sécurité légitime, normalement employé exclusivement par les sociétés de cryptographie sud-coréennes. Le malware Durian agit comme un installateur, insinuant un flux continu de logiciels espions dans le système cible. Parmi ceux-ci figurent une porte dérobée baptisée “AppleSeed”, un outil proxy personnalisé nommé LazyLoad, ainsi que d’autres programmes authentiques tels que Chrome Remote Desktop.
Fonctionnalités du malware Durian exploité par les pirates nord-coréens
Kaspersky a révélé que Durian est équipé d’une gamme complète de fonctionnalités de porte dérobée. Cela permet aux pirates d’exécuter des commandes à distance, de télécharger des fichiers supplémentaires sur les systèmes compromis et même d’exfiltrer des données sensibles. De plus, on découvre aussi que LazyLoad, un composant du malware, était également utilisé par Andariel, une sous-organisation du groupe Lazarus.
L’ascension de Lazarus au sein des pirates Nord-Coréens
Lazarus, qui a fait surface pour la première fois en 2009, est rapidement devenu l’un des groupes de hackers de cryptomonnaie les plus redoutables dans le monde de la cybersécurité. Des rapports indépendants sur la blockchain révèlent que Lazarus a réussi à blanchir plus de 200 millions de dollars de cryptomonnaies mal acquises entre 2020 et 2023.
Implication croissante de la Corée du Nord dans les cyberattaques
La Corée du Nord est de plus en plus impliquée dans des cyberattaques, selon un rapport récent du Conseil de sécurité des Nations unies. Ces attaques représentent désormais près de la moitié des recettes en devises du pays. Particulièrement pointé du doigt, on soupçonne Lazarus d’avoir volé plus de 3 milliards de dollars en cryptomonnaies sur une période de six ans, culminant en 2023.
Le rôle de Railgun dans le blanchiment d’argent
Lazarus aurait recours à des mélangeurs de cryptomonnaie pour dissimuler l’origine des fonds volés. Bien que des préoccupations persistent quant au blanchiment via des protocoles de confidentialité. Railgun, un protocole populaire, a nié toute implication dans les opérations des pirates nord-coréens ou d’individus sanctionnés. Cependant, des allégations ont émergé après une déclaration du FBI en janvier 2023. Notamment en suggérant que Lazarus avait blanchi plus de 60 millions de dollars en Ethereum via Railgun.
Conséquences des sanctions américaines
Suite aux sanctions américaines contre Tornado Cash, des spéculations ont surgi concernant Railgun comme alternative privilégiée pour de telles opérations de blanchiment d’argent. Cette situation soulève de sérieuses préoccupations. En l’occurrence, quant à la capacité des régulateurs et des acteurs de la cybersécurité à suivre le rythme des évolutions constantes dans le domaine du crime en ligne.
Vous pourriez aussi aimer: Le ministère américain de la Défense va développer un bouclier de cybersécurité Blockchain
En somme, la lutte contre les pirates nord-coréens et autres cybercriminels exige une approche multidimensionnelle. Notamment en impliquant la coopération entre les secteurs public et privé. Outre qu’une constante adaptation aux évolutions technologiques et tactiques de ces acteurs malveillants. Seule une réponse globale et proactive permettra de contrer efficacement cette menace croissante.
