Les cyberpirates nord-coréens à l’assaut des réseaux de cryptomonnaies

Thierry Berthier, Université de Limoges

Ces technologies de stockage et de transmission d’informations se présentent sous la forme d’une base de données distribuée (non centralisée) dont la sécurité repose sur la cryptographie.

Les plates-formes de conversion de cryptomonnaies en dollars ou en euros demeurent le maillon faible dans la chaîne de sécurité du cycle financier des cryptos. Les attaquants le savent très bien et exploitent systématiquement les failles de sécurité qu’ils peuvent découvrir eux-mêmes en étudiant une plate-forme ou acheter à d’autres groupes cybercriminels sur les places de marché du dark web. Nous sommes entrés dans l’ère d’industrialisation des cyberattaques et d’optimisation des gains pour des groupes cybercriminels, mafias et cartels toujours plus professionnels et performants. La nature même des cryptomonnaies de par leur caractère décentralisé et anonymisé, des technologies blockchain et des réseaux qui les transportent ne pouvait qu’attirer les acteurs malveillants.

Près de 600 millions d’euros dérobés

La dernière cyberattaque imputable aux groupes APT38 et Lazarus a fait l’objet d’une déclaration du FBI le 14 avril 2022. Les enquêteurs américains ont confirmé que les deux groupes agissant pour le compte de la République populaire de Corée du Nord, sont les responsables du vol (signalé le 29 mars) de 620 millions de dollars (573 millions d’euros) en cryptomonnaie Ethereum.

Le « cybercasse » résulte du piratage du jeu vidéo en ligne Axie Infinity basé sur la blockchain. Ce jeu très populaire a été créé en 2018 au Vietnam par Sky Mavis et a immédiatement rencontré le succès aux Philippines avec plusieurs millions d’utilisateurs. Il permet aux joueurs de gagner de l’argent sous la forme de NFT, des jetons numériques convertibles en cryptomonnaies. Les créateurs du jeu ont mis en place une blockchain rudimentaire, collatérale à la blockchain officielle Ethereum simplifiant et accélérant les transactions internes au jeu, mais au détriment de la sécurité de l’ensemble. Les attaquants d’APT38 et de Lazarus ont alors très logiquement détecté puis exploité les faiblesses de l’infrastructure du jeu pour ensuite détourner plus de 600 millions de dollars en cryptomonnaies. Le butin détourné alimente certainement les comptes du gouvernement nord-coréen, et sert en particulier à financer son programme d’armement nucléaire.

Les groupes APT38 et Lazarus s’appuient sur des outils sophistiqués pour mener leurs attaques. Les deux groupes mis en cause par le FBI ont une longue expérience de hacking de haut niveau sur des cibles à très haute valeur ajoutée. Ils ont démontré leurs capacités offensives contre des systèmes disposant de bons niveaux de sécurité. Les attaques attribuées à l’APT38 et à Lazarus sont souvent sophistiquées. Elles s’appuient sur des malwares (logiciels malveillants) furtifs et parfois développés ou « customisés » en fonction des cibles financières envisagées. Comme le montre leur dernière attaque contre Axie Infinity et le réseau Ronin (protocole qui relie Ethereum à Axie Infinity), le retour sur investissement est important. Les gains gigantesques obtenus permettent d’acheter des vulnérabilités « zero day » (vulnérabilités inédites) de haut niveau, donc très coûteuses. Une vulnérabilité zero-day est une faille logicielle qui n’a pas fait l’objet d’un correctif.

Ils permettent aussi de recruter des talents parmi les meilleurs étudiants en informatique nord-coréens ou affiliés. Les hackers à haut potentiel seraient identifiés, recrutés et formés au hacking étatique dès le plus jeune âge. Ce dispositif doit être vu comme une composante à part entière de l’appareil militaro-industriel nord-coréen comme le montre l’étude du CNAS un centre d’analyse américain qui publie des rapports sur les groupes cyber.

Un véritable effort de guerre

La spécialisation vers des cibles financières contribue à l’effort de guerre nord-coréen. Les malwares opérés par APT38 et Lazarus se situent souvent à l’état de l’art des cyberattaques et nécessitent de fortes capacités de développement.

Comme pour toute cyberattaque sophistiquée, la phase préliminaire de sélection des cibles potentielles, de détection des vulnérabilités des systèmes d’information et de planification de l’attaque peut prendre beaucoup de temps.

Cette phase d’ingénierie sociale consiste en l’étude détaillée de l’organisation à cibler et de son système d’information. Les attaquants effectuent un repérage des maillons faibles de l’infrastructure au niveau des systèmes comme des utilisateurs humains. Ils recherchent ensuite les failles de sécurité qui pourront être exploitées à partir des logiciels malveillants dont ils disposent. Quand il n’existe pas de logiciel « sur étagère » efficace, des équipes de développement peuvent être constituées par les groupes cybercriminels pour produire des malwares sur mesure adaptés à la cible. Le haut niveau de furtivité des logiciels malveillants opérés caractérise les différents groupes APT. Parfois, les attaques s’effectuent en plusieurs étapes avec une phase consacrée au repérage des systèmes de défense de la cible. Une première attaque est lancée pour évaluer le niveau de détection et de remédiation opéré par le système ciblé. Dans d’autres cas, une charge malveillante est introduite dans le système sans être activée. Elle demeure dormante jusqu’au moment opportun de l’attaque qui peut intervenir plusieurs semaines après cette phase initiale. Dans tous les cas, les stratégies et tactiques offensives sont adaptatives à la cible et à la complexité de ses boucliers numériques.

La morphologie des groupes APT38 et Lazarus reste mal connue. La nature des cibles et la typologie des attaques permettent de les caractériser dans l’écosystème mondial des groupes APT. Leurs effectifs ne sont pas précisément connus. On sait que les hackers nord-coréens les plus talentueux sont recrutés en continu pour renforcer les équipes opérationnelles. Actif depuis 2014, le groupe APT38 a ciblé des banques, des institutions financières, des casinos, des bourses de cryptomonnaie, des points de terminaison du système Swift et des distributeurs automatiques de billets dans au moins 38 pays à travers le monde.

Des cibles multiples

Les cyberopérations les plus importantes attribuées à APT38 concernent le braquage de la Banque du Bangladesh en 2016, au cours de laquelle le groupe a volé 81 millions de dollars. Il a mené des attaques contre Bancomext en 2018 et, la même année, contre Banco de Chile. On estime que les groupes cybercriminels liés à la Corée du Nord ont dérobé pour plus de 400 millions de dollars en cryptomonnaies par des cyberattaques en 2021.

Le groupe Lazarus (appelé aussi Guardians of Peace ou Whois Team) est un groupe cybercriminel dirigé par l’État nord-coréen. Entre 2010 et 2021, il a mené des nombreuses cyberattaques et est désormais considéré comme groupe APT (menace persistante avancée) en raison de la nature intentionnelle de la menace et du large éventail de méthodes utilisées lors de la conduite d’une opération. L’imprégnation idéologique d’APT38 et de Lazarus est celle du pouvoir nord-coréen, dans un mode de fonctionnement très proche de celui d’une unité militaire composante d’une cyberarmée moderne.

Il n’est pas possible d’évaluer avec précision la ventilation du butin récolté par les groupes APT nord-coréens. Cette donnée est par définition un secret militaire. On peut juste imaginer que sur un gain de 620 millions de dollars obtenus lors de la dernière attaque, une petite partie du magot est consacrée aux frais de fonctionnement et au budget du groupe APT38 : salaires des membres, recrutement de nouveaux membres, formation continue avant intégration opérationnelle, coût de développement des logiciels malveillants, achat de vulnérabilités informatiques et de ZeroDay sur les places de marché internationales, par exemple Zerodium.

Même si les frais de fonctionnement des groupes APT38 et LAZARUS sont probablement assez élevés, ils restent négligeables par rapport aux sommes dérobées qui alimentent ensuite les comptes du pouvoir nord-coréen. Le programme nucléaire nord-coréen mobilise un budget conséquent dans un pays par ailleurs extrêmement pauvre. On comprend que la manne financière issue des cyberattaques sur les infrastructures de cryptomonnaies constitue une très belle opportunité pour financer ce qui coûte cher…

D’une manière générale, le volume mondial et l’intensité des cyberattaques augmente systémiquement partout avec la croissance des surfaces d’attaques : objets connectés, cloud computing, architectures blockchain et cryptomonnaies, edge computing, commerce en ligne, banques en ligne, télétravail… La Corée du Nord n’est donc pas une exception dans cette tendance mondiale. Par ailleurs, les infrastructures cyberoffensives nord-coréennes ayant prouvé leur efficacité, il y a fort à parier que des groupes comme APT38 et LAZARUS vont poursuivre leurs activités illicites et s’adapter aux nouveaux défis de cybersécurité : hacking de satellites, utilisation de l’intelligence artificielle dans la conception des futurs logiciels malveillants, ransomware, logiciels espions, attaques DDoS intégrant l’IA, attaques à la source contre les fermes de minages de cryptomonnaies… Plus la technologie se développe, plus les systèmes se déploient et plus les opportunités d’attaques et de gains apparaissent pour les attaquants. La Corée du Nord favorise l’émergence de talents chez les hackers, elle va poursuivre et intensifier cette montée en puissance. Par ailleurs, les crises géopolitiques internationales (guerre en Ukraine, tensions sino-américaines) contribuent à l’augmentation des cyberattaques et à l’apparition de nouveaux malwares destructeurs. La Russie, l’Iran, la Chine, la Turquie, la Syrie, l’Arabie saoudite, mais aussi un grand nombre d’autres pays disposent de groupes cyberoffensifs ou cybercriminels travaillant de près ou de loin avec les services de renseignements locaux qui peuvent les utiliser sur des missions ou prestations externalisées. Le modèle des groupes de cybermercenaires répond à un besoin opérationnel et permet à des pays comme la Russie de déléguer certaines attaques aux groupes APT russes. Le cas de la Corée du Nord est particulier puisque le pays est soumis à des sanctions internationales contraignantes en lien avec son programme d’armement nucléaire.

Les groupes APT sont affiliés le plus souvent à La Chine, La Russie, La Corée du Nord, le Vietnam, l’Iran, La Syrie. Il existe des groupes cybercriminels du coté américains, mais ce ne sont pas des APT : des groupes associés aux Cartels mexicains, colombiens par exemple.

Le paiement en cryptomonnaies se généralise sur de nombreuses plates-formes numériques. Les réseaux sociaux à contenus payant les intègrent en les associant aux jetons NFT. Les maisons de vente aux enchères autorisent le paiement en Bitcoins. De plus en plus de jeux en ligne s’appuient sur des infrastructures blockchain avec des gains en cryptomonnaies et en NFT. Les bourses et plates-formes de change de cryptomonnaies se sont multipliées avec des flux de plus en plus importants. De nouvelles cryptomonnaies adossées à des matières premières ou minières apparaissent et transforment les marchés associés. Le déploiement de blockchains privées et publiques ouvre de nouvelles perspectives de croissance dans une économie décentralisée, mais offre aussi de nouvelles opportunités d’attaques et de gigantesques « Crypto-Magots » pour des groupes comme APT38 et LAZARUS.

Thierry Berthier, Maitre de conférences en mathématiques, cybersécurité et cyberdéfense, chaire de cyberdéfense Saint-Cyr, Université de Limoges

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.