Le gouvernement américain a averti que des pirates informatiques soutenus par l’État nord-coréen, connus sous le nom de Lazarus Group, ciblent des organisations de l’industrie de la blockchain en utilisant des applications de crypto-monnaie trojanisées.
Dans un avis conjoint publié lundi, le FBI, la CISA et le Trésor américain ont déclaré avoir observé les acteurs de la menace soutenus par la Corée du Nord ciblant diverses organisations des secteurs de la blockchain et de la crypto-monnaie, y compris les échanges de crypto, les sociétés de négoce de crypto-monnaie, les fonds de capital-risque. qui ont investi dans la crypto-monnaie et les personnes connues pour détenir de grandes quantités de crypto-monnaie ou de précieux jetons non fongibles (NFT) et des jeux vidéo à gagner.
L’avertissement survient quelques jours seulement après que des responsables américains ont lié Lazarus au récent vol de 625 millions de dollars en crypto-monnaie de Ronin, une chaîne latérale basée sur Ethereum conçue pour le jeu populaire de jeu pour gagner Axie Infinity, après avoir exploité une vulnérabilité dans le réseau.
Les pirates soutenus par la Corée du Nord ciblent les employés des sociétés de crypto-monnaie en utilisant des tactiques d’ingénierie sociale sur une variété de plateformes de communication. L’avis avertit que les attaquants enverraient des e-mails usurpés très ciblés – connus sous le nom de “spearphishing” – qui incluraient une offre d’emploi bien rémunérée pour tenter d’inciter la victime à télécharger les applications de crypto-monnaie trojanisées, une opération que le gouvernement américain appelle « TraderTraître. Cela semble être une continuation de la campagne dite “Dream Job” qui a été observée pour la première fois en 2020 et qui a vu les pirates informatiques cibler les travailleurs des secteurs de la défense, de l’aérospatiale et de la chimie.
Ces applications malveillantes propagent des logiciels malveillants dans l’environnement réseau de la victime et volent des clés privées ou exploitent d’autres failles de sécurité, ce qui permet aux pirates d’effectuer des activités de suivi, telles que des transactions frauduleuses sur la chaîne de blocs. Les agences américaines mettent en évidence un certain nombre d’applications TraderTraitor malveillantes utilisées dans ces campagnes, notamment Dafom, CryptAIS, AlticGO, Esilet et CreAI deck, qui prétendent toutes offrir des services tels que la création de portefeuille et les prévisions de prix des crypto-monnaies en temps réel.
L’avis, qui comprend également des indicateurs de compromission (IOC) et des informations sur les tactiques, techniques et procédures (TTP) utilisées dans ces attaques, exhorte les organisations des secteurs de la blockchain et de la crypto-monnaie à renforcer leurs défenses.
“Les cyber-acteurs parrainés par l’État nord-coréen utilisent une gamme complète de tactiques et de techniques pour exploiter les réseaux informatiques d’intérêt, acquérir une propriété intellectuelle sensible en crypto-monnaie et obtenir des actifs financiers”, ont déclaré les agences. “Ces acteurs continueront probablement d’exploiter les vulnérabilités des entreprises de technologie de crypto-monnaie, des sociétés de jeux et des échanges pour générer et blanchir des fonds pour soutenir le régime nord-coréen.”
L’année dernière, les agences américaines ont partagé des informations sur les applications malveillantes de crypto-trading injectées avec le malware AppleJeus, qui a été utilisé par Lazarus pour voler la crypto-monnaie des particuliers et des entreprises du monde entier. La Corée du Nord utilise depuis longtemps des opérations de vol de crypto-monnaie pour financer son programme d’armes nucléaires.
