Une bande de Nord-Coréens a profité d'une faille de sécurité jusque-là inconnue de Chrome pour cibler des organisations et leur voler leurs cryptomonnaies, a révélé une équipe de chercheurs de Microsoft dans un rapport.
Selon le rapport publié vendredi, les chercheurs en cybersécurité de Microsoft ont eu connaissance des agissements des pirates informatiques le 19 août. Le rapport indique également que le groupe était affilié à Citrine Sleet, connu pour cibler l'industrie des cryptomonnaies et les prestataires de services financiers en général.
Les pirates informatiques ont exploité des failles dans les navigateurs
Cette situation survient alors que les cryptomonnaies sont depuis des années une cible privilégiée des pirates informatiques du gouvernement nord-coréen, le Conseil de sécurité de l'ONU estimant que 3 milliards de dollars en cryptomonnaies ont été volés entre 2017 et 2023, selon un article de TechCrunch.
Selon les chercheurs de Microsoft, le groupe de pirates informatiques a exploité une vulnérabilité dans un moteur central de Chromium, qui est le code sous-jacent de Chrome et d'autres navigateurs populaires comme Microsoft Edge.
Le rapport explique également que lorsque les pirates ont exploité les failles des navigateurs, il s'agissait d'une vulnérabilité zero-day, c'est-à-dire que Google, en tant qu'éditeur du logiciel, n'était pas au courant du bug. Selon un article de TechCrunch, l'équipe n'a donc eu absolument pas le temps de publier un correctif avant l'exploitation de la faille.
Google a corrigé le bug deux jours plus tard, le 21 août , comme l'ont expliqué les chercheurs.
Selon TechCrunch , le porte-parole de Google, Scott Westover, a déclaré que le géant technologique avait corrigé le bug, sans toutefois donner plus de détails.
Microsoft a révélé à ses pairs avoir notifié les « clients ciblés et compromis », sans toutefois pouvoir fournir plus d'informations sur la cible définie, ni sur le nombre de cibles et de victimes visées par cette « vague de piratage »
Son porte-parole, Chris Williams, a refusé de divulguer le nombre d'organisations touchées par cette pratique abusive.
Un gang nord-coréen cible les services financiers
Selon les chercheurs, Citrine Sleet est basé en Corée du Nord et cible principalement les prestataires de services financiers et les personnes qui gèrent des cryptomonnaies à des fins lucratives. Le groupe « a mené une reconnaissance approfondie du secteur des cryptomonnaies et des personnes qui y sont associées » dans le cadre de ses techniques d'ingénierie sociale.
« L’auteur de la menace crée de faux sites web se faisant passer pour des plateformes légitimes de trading de cryptomonnaies et les utilise pour diffuser de fausses offres d’emploi ou inciter des cibles à télécharger un portefeuille de cryptomonnaies ou une application de trading malveillante basée sur des applications légitimes », peut-on lire dans le rapport.
« Citrine Sleet infecte le plus souvent ses cibles avec le cheval de Troie unique qu'elle a développé, AppleJeus, qui collecte les informations nécessaires pour prendre le contrôle des actifs en cryptomonnaie des cibles. »
Rapport Microsoft.
Concernant les pirates nord-coréens, les chercheurs ont révélé qu'ils commençaient par inciter une victime à visiter un domaine web qu'ils contrôlaient. Le rapport explique ensuite qu'en exploitant une autre vulnérabilité du noyau Windows, les pirates ont réussi à installer un logiciel malveillant leur permettant d'accéder à des informations approfondies du système d'exploitation de l'appareil de la victime. Ils ont ainsi obtenu le contrôle total des données et de l'appareil de cette dernière.
Selon TechCrunch, en raison des sanctions internationales sévères, le régime nord-coréen s'est tourné vers des activités illicites liées aux cryptomonnaies pour financer son programme d'armement nucléaire.
