Les hackers nord-coréens changent de stratégie pour siphonner les cryptos

Un groupe de hackers soutenu par le gouvernement nord-coréen est parvenu à entrer dans le système de JumpCloud, une société américaine de gestion informatique. Il s’est servi de cette dernière pour cibler des sociétés de cryptos dans le but de voler des actifs numériques. Ce nouveau cas de piratage, qui rejoint la longue liste des méfaits orchestrés par les hackers nord-coréens, a un mode opératoire assez différent. Faut-il s’en inquiéter ? La réponse dans cet article.

Une nouvelle approche de piratage informatique

D’après les sources proches du dossier, les hackers nord-coréens ont pénétré les systèmes informatiques de JumpCloud. Ces pirates en ont profité pour extraire des données et viser les clients de l’entreprise. Le but ? Il reste le même : voler des cryptos.

Jusqu’à présent, les pirates nord-coréens se contentaient de dévaliser les entreprises de cryptographie une par une. Il semble que dorénavant, ils s’attaquent aux sociétés qui peuvent leur donner un accès plus large à des victimes potentielles et donc, à de multiples sources de monnaies numériques. Voilà leur nouveau mode opératoire.

Étant une entreprise proposant des produits pour aider les administrateurs réseau à gérer les appareils et les serveurs, JumpCloud constituait la cible idéale. Elle a indiqué dans un article de blog que « moins de 5 clients » ont été visés par les hackers. Ce chiffre laisse à penser que cette attaque était davantage une sorte d’expérience en vue de manœuvres plus grandes.

Labyrinth Chollima, le groupe présumé responsable de cette attaque

Dans le billet de blog publié au sujet du piratage, JumpCloud a retracé l’intrusion jusqu’au 27 juin, sans pour autant en désigner les responsables. Toutefois, l’enquête menée par la société de cybersécurité CrowdStrike Holdings désigne le groupe Labyrinth Chollima comme auteur de cette attaque.

Labyrinth Chollima est l’un des groupes de piratages les plus actifs de Corée du Nord. Il travaillerait pour le Bureau général de reconnaissance (RGB), la principale agence de renseignement étrangère de la Corée du Nord. Ainsi, ce groupe serait responsable de certaines des cyber-intrusions les plus audacieuses et les plus perturbatrices venant de ce pays isolé.

À l’instar de Labyrinth Chollima, de nombreux groupes de hackers seraient à la solde de Pyongyang et chercheraient à « générer des revenus pour le régime ». La société d’analyse de blockchain Chainalysis a déclaré que l’an dernier, le montant total des sommes dérobées par ces groupes était estimé à environ 1,7 milliard de dollars d’argent numérique.

La Corée du Nord intensifie son jeu

Fidèle à sa stratégie, la mission de Pyongyang auprès des Nations Unies à New York s’est abstenue de commenter les nouvelles. Il faut dire que jusqu’à présent, la Corée du Nord a toujours nié avoir organisé des vols de cryptomonnaie numérique, en dépit des preuves accablantes réunies à son encontre.

Pendant ce temps, les attaques informatiques nord-coréennes gagnent en efficacité et en portée. Comme l’a affirmé le chercheur en cybersécurité Tom Hegel à Reuters, la Corée du Nord intensifie vraiment son jeu. Ses hackers sont devenus adeptes « des attaques de la chaîne d’approvisionnement ».

Aussi, ils organisent des piratages élaborés qui fonctionnent en compromettant les fournisseurs de logiciels ou de services afin de voler des données – ou de l’argent – aux utilisateurs en aval. Tout porte donc à croire que ce n’est pas la dernière fois que nous verrons des attaques contre la chaine d’approvisionnement.

En somme, le piratage de la société informatique américaine JumpCloud fait peser une nouvelle menace sur l’industrie crypto. Il relance également le débat sur l’évolution du programme nucléaire nord-coréen et son impact sur le reste du monde.