D’après les dernières analyses d’experts, la Corée du Nord est en bonne voie pour devenir le plus grand voleur de la planète, au travers de son groupe de pirates Lazarus. Celui-ci, rappelons-le, est tristement connu pour avoir saboté le réseau informatique de Sony Pictures fin 2014. Il serait également l’auteur de plusieurs attaques sur des banques, dont la banque centrale du Bangladesh en 2016. Des dizaines de millions de dollars ont ainsi été exfiltrés par des faux virements Swift.
Depuis quelques mois, le groupe Lazarus s’est intéressé aux places de marché bitcoin. Selon FireEye, il aurait tenté de dévaliser plusieurs places de marché sud-coréennes en 2017. Le groupe est également suspecté d’être à l’origine du piratage de la place de marché Youbit. Comme le souligne Ars Technica, celle-ci vient d’être dérobée de 17 % de son stock de bitcoins et a été contrainte de mettre brutalement la clé sous la porte. C’est la deuxième fois en huit mois que cela arrive. En avril dernier, des pirates ont réussi à subtiliser 3816 bitcoins à Yapizon, la société qui a précédé Youbit. Vu le cours actuel, cela représente près de 50 millions d’euros.
Mais Lazarus ne compte pas s’arrêter là. D’après un rapport de Proofpoint, le groupe s’est doté d’un arsenal pour dérober les bitcoins et les données de cartes bancaires des particuliers au travers de trois nouveaux malwares : PowerRatankba, Gh0st RAT et RatankbaPOS. Le premier est un outil d’espionnage qui permet d’analyser la machine et de savoir quelles applications sont installées.
Si le résultat est satisfaisant, les pirates téléchargent le second. Il s’agit d’un outil d’accès à distance qui permet de prendre le contrôle de la machine et, le cas échéant, de vider les portefeuilles bitcoins. « Les particuliers sont des cibles plus faciles. Ils ont souvent moins de ressources et de connaissances pour se défendre et apportent de nouvelles sources d’argent », expliquent les chercheurs de Proofpoint.
Quant au troisième outil, RatankbaPOS, il est fait pour être déployé sur les systèmes de paiement dans le but de siphonner les numéros de cartes bancaires. Pour l’instant, seuls des systèmes sud-coréens semblent être ciblés. « RatankbaPOS est probablement le premier malware étatique destiné au vol de données de cartes bancaire sur terminaux de paiement », souligne les chercheurs. Il est vrai que ce type d’activité crapuleuse est plutôt l’apanage des cybercriminels.
Pour diffuser tous ces malwares, les pirates de Lazarus font feu de tout bois : des mises à jour Skype ou Telegram vérolées, des documents PDF piégés envoyés par email, des livres blancs et des guides piégés sur les cryptomonnaies, des sites web pourris, du code Javascript malveillant, etc. Ce n’est sans doute pas la dernière fois que l’on entend parler de ces hackers nord-coréens.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
