Le groupe de hackers Lazarus a attaqué Debridge Finance : Co-fondateur
- Le groupe de hackers Lazarus a essayé d’utiliser plusieurs membres de l’équipe de l’entreprise pour lancer l’attaque en envoyant des e-mails usurpés contenant un fichier PDF nommé « New Salary Adjustments ».
- Un employé a téléchargé le fichier, entraînant une attaque sur son système interne.
Le tristement célèbre groupe de hackers nord-coréen Lazarus responsable de plusieurs attaques très médiatisées aurait fait une tentative rapide sur Debridge Finance. Alex Smirnov, co-fondateur et chef de projet chez DeBridge Finance, l’a révélé vendredi.
La société est connue pour fournir un protocole d’interopérabilité et de liquidité inter-chaînes utilisé pour transférer des données et des actifs entre les chaînes de blocs.
Selon Smirnov, le groupe de hackers Lazarus a tenté d’utiliser plusieurs membres de l’équipe de l’entreprise pour lancer l’attaque en envoyant des e-mails usurpés contenant un fichier PDF nommé « New Salary Adjustments ». Il est important de noter que les e-mails usurpés sont manipulés pour donner l’impression qu’ils proviennent d’une source fiable. Dans cette attaque particulière, l’e-mail semblait provenir du co-fondateur de l’entreprise.
Smirnov a expliqué que les membres de l’équipe ont suivi une formation de base sur les attaques possibles.
Nous avons des politiques de sécurité internes strictes et travaillons continuellement à les améliorer ainsi qu’à éduquer l’équipe sur les vecteurs d’attaque possibles.
Quoi qu’il en soit, un employé a téléchargé le fichier, ce qui a entraîné une attaque de son système interne.
Enquête sur l’attaque du groupe de hackers Lazarus
Une première enquête pour savoir d’où venait l’attaque, son but et ses éventuelles conséquences a révélé que le fichier téléchargé était conçu pour exporter des informations vers les pirates.
Une analyse rapide a montré que le code reçu collecte BEAUCOUP d’informations sur le PC et les exporte vers [the attacker’s command center]: nom d’utilisateur, informations sur le système d’exploitation, informations sur le processeur, adaptateurs réseau et processus en cours d’exécution.
Smirnov a également observé que l’attaque contre Debridge avait des caractéristiques similaires à celles d’une autre attaque publiée sur Twitter qui aurait été lancée par le groupe Lazarus.
Il a averti ses abonnés de ne pas ouvrir d’e-mail sans avoir d’abord vérifié le nom complet de l’expéditeur. En outre, ils doivent avoir un protocole interne sur la façon dont leur équipe partage l’attachement pour se différencier de ceux provenant des acteurs de la menace.
Selon David Schwed, directeur de l’exploitation de la société de sécurité blockchain Halborn, ce type d’attaque est très courant. Il a expliqué que les pirates tentent de profiter de la nature curieuse des gens pour nommer ces fichiers malveillants d’une manière qui peut attirer leur attention. Schwed a en outre révélé que l’immuabilité des transactions blockchain fait des sociétés blockchain la cible principale de ces types d’attaques.
Le groupe de hackers Lazarus serait à l’origine de l’attaque contre Ronin Network, une chaîne latérale Ethereum utilisée par le jeu de cryptographie play-to-earn, Axie Infinity. Ils ont réussi à voler 622 millions de dollars de cryptos, ce qui en fait le deuxième piratage Defi le plus important à ce jour. La première attaque de ce groupe de pirates informatiques remonte à 2009, le FBI les qualifiant d' »organisation de piratage parrainée par l’État ». Ils seraient également responsables de l’attaque du rançongiciel WannaCry en 2017, de la violation de Sony Pictures en 2014, ainsi que de plusieurs autres attaques contre des sociétés pharmaceutiques en 2020.