Vols de données bancaires : la Corée du nord pointée du doigt

Spread the love
Vols de données bancaires : la Corée du nord pointée du doigt

La Corée du nord continue à soutenir des équipes de cybercriminels. C’est ce qu’a confirmé la société néerlandaise de cybersécurité SanSec dans un rapport publié ce lundi, selon lequel des équipes de pirates soutenus par Pyongyang continuent leurs campagnes dans les magasins en ligne pour y insérer des codes malveillants capables de subtiliser des données bancaires afin de soutirer l’argent de malheureux acheteurs.

La victime la plus connue de cette série de piratages est la chaîne de magasins d’accessoires Claire’s, qui a fait l’objet d’une intrusion en avril et en juin 2020. Ces types d’attaques sont appelés “web skimming”, “e-skimming” ou “Magecart attack”, du nom du premier groupe à s’être engagé dans de telles campagnes de piratage de données bancaires.

Simples à mettre en place, ces attaques ont pour objectif de permettre aux pirates d’accéder au serveur principal d’un magasin en ligne, aux ressources associées ou à des widgets tiers, où ils peuvent installer et exécuter un code malveillant sur le site principal du magasin.

publicité

Un levier de croissance pour Pyongyang

Le code se charge uniquement sur la page de paiement et enregistre silencieusement les détails de paiement au fur et à mesure qu’ils sont saisis dans les formulaires de paiement. Ces données sont ensuite exfiltrées vers un serveur distant, d’où les pirates les collectent et les vendent sur des marchés clandestins de la cybercriminalité. Les attaques nécessitent généralement que les pirates exploitent une vaste infrastructure pour héberger le code malveillant ou faire fonctionner les points de collecte.

D’où l’intérêt du rapport publié par SanSec, qui relie les domaines et les adresses IP des serveurs utilisés dans ces récentes attaques de sites web à une infrastructure de piratage connue de l’État nord-coréen. Le fondateur du SanSec, Willem de Groot, a déclaré que les preuves remontaient jusqu’à Hidden Cobra (ou Lazarus Group), le nom de code donné par le ministère américain de la sécurité intérieure aux équipes de piratage informatique de l’élite de Pyongyang.

“On ne sait pas encore comment Hidden Cobra a obtenu l’accès, mais les attaquants utilisent souvent des attaques de hameçonnage (courriels piégés) pour obtenir les mots de passe du personnel de vente”, a déclaré M. de Groot aujourd’hui.

Les conclusions du SanSec brossent un tableau plus large des opérations de piratage parrainées par l’État nord-coréen. Alors que de nombreux groupes soutenus par le gouvernement se livrent uniquement à des activités de cyber-espionnage, la Corée du Nord, en raison des sanctions qui paralysent son économie, utilise également des pirates informatiques de l’État pour rassembler des fonds pour son gouvernement.

Des pirates bien connus

Les pirates de Pyongyang ont été liés à des campagnes menées contre des banques du monde entier mais ont également été impliqués dans des braquages de distributeurs automatiques de billets et des retraits d’argent ou dans des escroqueries aux devises cryptographiques. Ils sont également connus pour acheter régulièrement des logiciels malveillants et ont récemment été repérés en train de planifier des campagnes de phishing exploitant la peur suscitée par la pandémie actuelle de Covid-19.

Les pirates nord-coréens ont également été accusés d’avoir créé le tristement célèbre logiciel de rançon WannaCry, qui a mis à genoux une grande partie du monde informatique en mai 2017. Les autorités et les experts ont désigné WannaCry comme une tentative bâclée de créer une souche de ransomware utilisé pour extorquer des victimes afin de collecter des fonds pour le régime de Pyongyang.

Suite aux campagnes de piratage effrontées de la Corée du Nord, en septembre 2019, le département du Trésor américain a imposé des sanctions à des entités commerciales qu’il croyait associées à trois groupes de piratage soupçonnés d’être des sociétés écrans utilisées pour collecter des fonds pour les programmes d’armes et de missiles de la Corée du Nord.

Source : ZDNet.com

Leave a Reply