Alex Smirnov, co-fondateur et chef de projet chez DeBridge Finance, s’est rendu sur Twitter vendredi pour signaler que son entreprise était la cible d’une tentative de cyberattaque par le tristement célèbre groupe nord-coréen Lazarus.
DeBridge fournit un protocole d’interopérabilité et de liquidité inter-chaînes pour le transfert de données et d’actifs entre les chaînes de blocs.
L’attaque est venue via un e-mail usurpé reçu par plusieurs membres de l’équipe DeBridge qui contenait un fichier PDF nommé « New Salary Adjustments », qui semblait provenir de Smirnov.
L’usurpation d’e-mail est une forme d’attaque dans laquelle un e-mail malveillant est manipulé pour donner l’impression qu’il provient d’une source fiable, dans ce cas, du co-fondateur de l’entreprise.
« Nous avons des politiques de sécurité internes strictes et travaillons continuellement à les améliorer ainsi qu’à éduquer l’équipe sur les vecteurs d’attaque possibles », a écrit Smirnov.
Même ainsi, a expliqué Smirnov, une personne a téléchargé et ouvert le fichier, ce qui a déclenché une attaque contre les systèmes internes de l’entreprise. Cela a déclenché une enquête sur l’origine de l’attaque, sur la manière dont les pirates voulaient que l’attaque fonctionne et sur toutes les conséquences potentielles.
« Une analyse rapide a montré que le code reçu collecte BEAUCOUP d’informations sur le PC et les exporte vers [the attacker’s command center]: nom d’utilisateur, informations sur le système d’exploitation, informations sur le processeur, adaptateurs réseau et processus en cours d’exécution », a déclaré Smirnov.
Smirnov a comparé ce que DeBridge a vu avec un autre message Twitter d’un autre utilisateur qui présentait des caractéristiques similaires et pointait vers le groupe de hackers nord-coréen.
Smirnov a averti ses abonnés de ne jamais ouvrir les pièces jointes sans vérifier l’adresse e-mail complète de l’expéditeur et d’avoir un protocole interne sur la façon dont leur équipe partage les pièces jointes.
Le groupe Lazarus aurait été à l’origine de plusieurs piratages cryptographiques de haut niveau, notamment le piratage de la chaîne latérale Axie Infinity Ronin Ethereum de 622 millions de dollars en mars et le piratage Harmony Horizon Bridge en juin.
« Ces types d’attaques sont assez courants », note David Schwed, directeur de l’exploitation de la société de sécurité blockchain Halborn. « Ils s’appuient sur la nature curieuse des gens en nommant les fichiers de manière à piquer leur intérêt, comme des informations sur les salaires.
« Nous voyons de plus en plus de ces types d’attaques ciblant spécifiquement les sociétés de blockchain étant donné les enjeux accrus dus à l’immuabilité des transactions de blockchain », a ajouté Schwed.
Restez au courant des actualités cryptographiques, recevez des mises à jour quotidiennes dans votre boîte de réception.