Menaces des hackers nord-coréens sur l’industrie de la cryptomonnaie
Chaque jour, Binance reçoit un grand nombre de faux CV, que la plateforme est convaincue d’avoir été rédigés par de potentiels attaquants nord-coréens, a déclaré à Decrypt Jimmy Su, le directeur de la sécurité de l’échange de cryptomonnaies. Selon lui, les acteurs étatiques de la Corée du Nord représentent la plus grande menace pour les entreprises de l’industrie de la cryptomonnaie aujourd’hui.
Les méthodes des hackers
Su a expliqué que les hackers nord-coréens ont été un problème constant tout au long des huit années d’existence de l’échange, mais que récemment, leurs efforts dans le domaine de la cryptomonnaie se sont intensifiés. « Le principal vecteur de menace pour l’industrie de la cryptomonnaie provient des acteurs étatiques, en particulier de la RPD de Corée, notamment du groupe Lazarus, » a déclaré Su à Decrypt, ajoutant qu’ils se sont concentrés sur la cryptomonnaie ces deux ou trois dernières années et ont connu un certain succès dans leurs efforts.
« Presque tous les grands hacks attribués à la RPD de Corée ont impliqué un faux employé facilitant l’attaque. »
La République populaire démocratique de Corée, également connue sous le nom de RPD de Corée ou Corée du Nord, abrite le groupe Lazarus, l’un des clans de hackers les plus prolifiques au monde. Ce groupe est soupçonné d’être responsable du célèbre hack de Bybit, qui a entraîné un vol de 1,4 milliard de dollars en mars, le plus grand hack de l’histoire de la cryptomonnaie, selon le FBI.
Détection des faux candidats
Su a déclaré que Binance a principalement observé des attaquants nord-coréens tentant de se faire embaucher par la société. L’échange centralisé affirme recevoir des CV chaque jour, en raison de leur tendance à utiliser certains modèles de CV. Si ces CV passent le premier contrôle, l’entreprise doit ensuite vérifier la légitimité du candidat lors d’un appel vidéo, un défi qui devient de plus en plus difficile avec la montée de l’intelligence artificielle.
« Notre suivi a montré que l’acteur, l’opérateur, avait un CV, et ils ont principalement soit un nom de famille japonais, soit un nom de famille chinois. »
Su a expliqué que les attaquants utilisent des techniques avancées pour masquer leur identité, comme des changeurs de voix et des deepfakes. « La seule véritable méthode de détection est qu’ils ont presque toujours une connexion Internet lente, » a-t-il ajouté.
Pratiques de sécurité de Binance
Binance surveille même ses employés actuels pour détecter un comportement suspect, une pratique que toutes les institutions financières appliquent dans une certaine mesure. Ironiquement, selon les recherches de Su, les employés de la RPD de Corée sont généralement parmi les meilleurs performeurs de l’entreprise dans leur rôle.
Su a également mentionné deux autres modes d’attaque fréquents utilisés par les acteurs étatiques nord-coréens : empoisonner les bibliothèques NPM publiques avec du code malveillant et faire de fausses offres d’emploi à des employés de la cryptomonnaie.
« Le groupe de la RPD de Corée essaiera également de planifier des appels avec les employés en contact avec l’extérieur. »
Binance a formé ses employés à signaler chaque tentative de phishing à leur encontre. D’après la fréquence de ces rapports, Su est convaincu que les attaquants de la RPD de Corée envoient des messages aux employés de Binance sur LinkedIn chaque jour.
Conclusion
Les hackers nord-coréens ont volé 1,34 milliard de dollars lors de 47 incidents liés à la cryptomonnaie l’année dernière, et les attaques de la RPD de Corée ont persisté. « Le groupe Lazarus a toujours été un problème, » a déclaré Su à Decrypt. « Mais au cours des deux ou trois dernières années, ils ont changé leur focus, mettant plus de ressources sur la cryptomonnaie, en raison du montant élevé de l’industrie. »
