Rapports de F-Secure : des pirates nord-coréens lancent une campagne d'attaque mondiale contre l'industrie de la crypto-monnaie. Bien que les attaquants professionnels aient couvert leurs traces, F-Secure a pu reconstituer une attaque mondiale du soi-disant groupe Lazarus.
Les spécialistes de la cybersécurité de F-Secure ont publié un rapport reliant les détails d'une attaque ciblée contre une entreprise du secteur de la crypto-monnaie au groupe Lazarus. Le groupe de piratage, qui aurait des liens étroits avec la République populaire démocratique de Corée (RPDC), est connu pour son approche hautement professionnelle qui poursuit des intérêts purement financiers. Dans le rapport, en reliant les indices et les schémas glanés lors de l'attaque aux recherches existantes, F-Secure conclut que l'incident vérifié fait partie d'une campagne mondiale du groupe Lazarus. Ceci s'adresse aux entreprises de l'industrie de la crypto-monnaie des États-Unis, de Grande-Bretagne, des Pays-Bas, d'Allemagne, de Singapour, du Japon et d'autres pays.
Un rapport révèle le groupe Lazarus
Le rapport analyse les journaux, journaux et autres artefacts techniques récupérés par F-Secure lors de l'enquête médico-légale sur une attaque contre une organisation crypto. Les experts en sécurité de F-Secure ont constaté que les méthodes d'attaque sont presque identiques aux pratiques précédemment utilisées par le groupe Lazarus - également connu sous le nom d'APT38.
En outre, le rapport comprend des détails sur les tactiques, techniques et procédures (TTP) utilisées lors de l'attaque. Par exemple, les attaquants ont pu utiliser le "spearphishing" pour exploiter des services externes de confiance. Dans ce cas précis, une fausse offre d'emploi spécifiquement adaptée au profil du destinataire a été envoyée via la plateforme LinkedIn.
Attaques similaires dans au moins 14 pays
Sur la base d'artefacts de phishing récupérés après l'attaque du groupe Lazarus, les chercheurs de F-Secure ont pu lier l'incident à une vaste campagne en cours depuis janvier 2018. Selon le rapport, des artefacts similaires ont été détectés lors d'attaques dans au moins 14 pays : les États-Unis, la Chine, la Grande-Bretagne, le Canada, l'Allemagne, la Russie, la Corée du Sud, l'Argentine, Singapour, Hong Kong, les Pays-Bas, l'Estonie, le Japon et la Philippines.
Le groupe Lazarus s'est donné beaucoup de mal pour contourner les défenses de l'entreprise touchée lors de l'attaque. Par exemple, il a pu désactiver le logiciel antivirus sur les hôtes compromis et supprimer toute preuve de ses activités laissée derrière. Et bien que le rapport qualifie l'attaque de hautement professionnelle, il indique que les efforts du groupe Lazarus pour brouiller les pistes par la suite n'ont pas été suffisants. De nombreux indices cachés et non résolus ont finalement fourni à F-Secure des preuves claires des activités des attaquants.
Réponse aux incidents, détection et réponse gérées et équipe de défense tactique
« L'attaque a fait l'objet d'une enquête par des spécialistes expérimentés de nos équipes de réponse aux incidents, de détection et de réponse gérées et de défense tactique. Il s'est avéré que cette attaque présentait un certain nombre de similitudes avec les activités connues du groupe Lazare. Nous pensons qu'ils étaient également responsables de cette attaque », a déclaré Matt Lawrence, directeur de la détection et de la réponse chez F-Secure. Les organisations peuvent désormais consulter le rapport pour se familiariser avec la cyberattaque spécifique, les TTP et le groupe Lazarus en général. De plus, des recommandations de sécurité directes sont données pour se protéger contre les attaques du groupe de pirates.
En savoir plus sur F-Secure.com
À propos de F-Secure Personne n'a une meilleure idée des véritables cyberattaques que F-Secure. Nous comblons le fossé entre la détection et la réponse. Pour ce faire, nous tirons parti de l'expertise inégalée en matière de menaces de centaines des meilleurs consultants techniques de notre secteur, des données de millions d'appareils exécutant notre logiciel primé et des innovations continues en matière d'intelligence artificielle. Les principales banques, compagnies aériennes et entreprises font confiance à notre engagement à lutter contre les cybermenaces les plus dangereuses au monde. Parallèlement à notre réseau de partenaires de premier plan et à plus de 200 fournisseurs de services, notre mission est de fournir à tous nos clients une cybersécurité de niveau entreprise adaptée à leurs besoins. Fondée en 1988, F-Secure est cotée au NASDAQ OMX Helsinki Ltd.