Google déjoue deux groupes de piratage nord-coréens ciblant les entreprises de cryptographie

  • Google a annoncé avoir réussi à contrecarrer deux groupes de piratage nord-coréens liés à l’État qui ciblaient les entreprises de cryptographie et les chercheurs d’emplois technologiques.
  • Les deux ont exploité un bogue sur le navigateur Chrome de Google qui a été découvert et corrigé pour la première fois plus tôt cette année.

Deux groupes de piratage qui ciblaient les entreprises de crypto-monnaie et les chercheurs d’emploi via une attaque zero-day de Google Chrome ont été arrêtés par l’équipe d’analyse des menaces du géant des moteurs de recherche.

Dans un article de blog, Adam Weidemann du Threat Analysis Group (TAG) de Google a révélé que les deux groupes exploitaient une vulnérabilité d’exécution de code à distance dans Chrome, CVE 2022-0609. Les activités des deux groupes ont été suivies comme Operan Dream Job et Operation AppleJeus. La première preuve que l’équipe Google TAG a recueillie sur les activités de ce groupe utilisant les vulnérabilités de Chrome remonte au 4 janvier de cette année.

Weidemann a noté:

Nous avons observé les campagnes ciblant des organisations basées aux États-Unis couvrant les secteurs des médias d’information, de l’informatique, de la crypto-monnaie et de la fintech. Cependant, d’autres organisations et pays peuvent avoir été ciblés.

Google pense que les deux groupes de hackers travaillent pour la même entité, c’est pourquoi ils partagent le même exploit, bien que chacun opère avec un ensemble de missions différent et déploie des techniques différentes. Il a en outre affirmé qu’il existe d’autres attaquants soutenus par le gouvernement nord-coréen ayant accès au même exploit.

Google a en outre lié les groupes de piratage à Lazarus, l’un des groupes de pirates informatiques les plus meurtriers au monde basé en Corée du Nord. Lazarus a été à l’origine de certaines des plus grandes cyberattaques de ces derniers temps, y compris le tristement célèbre Piratage de Sony en 2014.

Se faisant appeler le ‘Gardiens de la paix‘, les pirates ont infiltré la société cinématographique, volé d’énormes quantités de données et les ont divulguées aux journalistes. Ils ont ensuite exigé que Sony arrête la sortie de ‘L’interview‘, un film sur deux Américains qui assassinent Kim Jong Un, le chef suprême de la Corée du Nord.

Google indique que parmi les groupes ciblés figuraient 85 utilisateurs des secteurs de la crypto et de la fintech. Ils ont également ciblé 250 personnes de 10 organisations distinctes dans les médias, les éditeurs de logiciels et les bureaux d’enregistrement de domaines avec de fausses offres d’emploi dans des e-mails se faisant passer pour des recruteurs de certaines des plus grandes entreprises du monde, de Disney à Google.

Le dernier rapport renforce encore la croyance largement répandue selon laquelle le gouvernement nord-coréen travaille avec des pirates informatiques pour attaquer ses ennemis et les voler. Il a particulièrement pris goût à la cryptographie et est à l’origine de certains des plus grands hacks du secteur de la cryptographie.

Selon Chainalysis, les pirates informatiques de Lazarus ont volé environ 400 millions de dollars de crypto en 2021 uniquement grâce à des hacks, des ransomwares, etc.

Lire la suite : La Corée du Nord a remporté un record de 400 millions de dollars de crypto en 2021 : Rapport