- Les attaquants ont exploité la vulnérabilité React2Shell et volé des identifiants AWS pour accéder aux systèmes.
- Les pirates ont fouillé dans l’infrastructure cloud à la recherche de clés privées, d’identifiants et de code source d’échange.
- Les preuves et tactiques pointent vers des groupes cybernétiques nord-coréens ciblant l’industrie crypto.
Une campagne sophistiquée de piratage visant le cœur de l’industrie des cryptomonnaies a été mise au découverte par la société de cybersécurité Ctrl-Alt-Intel, et les empreintes laissées suggèrent des liens possibles avec des acteurs malveillants nord-coréens .
L’effraction
Les assaillants utilisaient plusieurs points d’entrée. Dans certains cas, ils ont exploité React2Shell, une vulnérabilité d’un framework web populaire, en scrutant Internet à la recherche de plateformes crypto fonctionnant sous des logiciels obsolètes.
Dans un autre cas, les attaquants semblaient déjà posséder des identifiants Amazon Web Services valides, leur permettant d’accéder à l’environnement cloud d’une plateforme d’échange crypto sans déclencher les méthodes d’intrusion habituelles. La manière dont ces accréditations ont été obtenues reste inconnue.
Le pillage méthodique
Ce qui a suivi n’a pas été un coup de force. C’était une recherche minutieuse, pièce par pièce, de toute une infrastructure numérique. Les attaquants ont fouillé les buckets de stockage cloud à la recherche de clés privées et de fichiers de configuration.
Ils ont tracé les plans d’infrastructure à la recherche de mots de passe pour les bases de données. Ils testaient les connexions réseau, et lorsqu’une base de données s’est avérée inaccessible, ils la reconfiguraient simplement pour qu’elle soit accessible publiquement et connectée malgré tout.
Puis vint le vrai prix. Cinq images propriétaires de conteneurs Docker, essentiellement le code source emballé d’une plateforme d’échange de cryptomonnaies en ligne, ont été extraites et prises. Des dépôts privés ont été clonés.
Les secrets d’application et les identifiants codés en dur étaient récupérés à partir de cloud vaults, clusters Kubernetes et conteneurs actifs. Une plateforme de staking a vu toute sa backend retirée, y compris une clé de portefeuille privé. Une petite quantité de cryptomonnaie a été transférée depuis l’adresse associée peu après.
Le sentier de retour à Pyongyang
Les chercheurs ont fait preuve de prudence dans leur langage, s’arrêtant avant de porter une accusation définitive. Mais les preuves qu’ils ont rassemblées, le ciblage systématique des entreprises crypto, les outils utilisés, les schémas d’infrastructure et la nature de ce qui a été volé correspondent étroitement aux acteurs malveillants nord-coréens qui ont passé des années à piller l’industrie crypto pour générer des devises fortes pour un régime étouffé par les sanctions.
Pour masquer leurs traces, les attaquants ont acheminé leur activité via des nœuds VPN sud-coréens, une couche de diversion conçue pour compliquer précisément le type d’enquête qui les a finalement arrêtés.
Ctrl-Alt-Intel a notifié les entreprises concernées. Le reste de l’industrie a été mis en alerte.
En lien avec : L’activité crypto des États sanctionnés s’étend à travers les réseaux mondiaux
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
