Quand la Corée du Nord louche sur les bitcoin ! En 2016, nous avons commencé à observer des acteurs que nous pensons être nord-coréens, qui utilisent leurs capacités d’intrusion pour mener à bien des cybercrimes, cibler les banques et le système financier mondial. Cela a marqué un écart par rapport à l’activité précédemment observée des acteurs nord-coréens employant un cyberespionnage pour les activités traditionnelles de l’État national.
Étant donné la position de la Corée du Nord en tant que nation paria, coupée d’une grande partie de l’économie mondiale – ainsi que d’une nation qui emploie un bureau du gouvernement pour mener une activité économique illicite – ce n’est pas tout à fait surprenant. Avec le contrôle étroit de la Corée du Nord sur ses capacités militaires et de renseignement, il est probable que cette activité ait été menée pour financer les caisses de l’État ou personnelles de l’élite de Pyongyang, car les sanctions internationales ont contraint le royaume ermite.
Depuis, nous assistons à une deuxième vague de cette campagne: les acteurs parrainés par l’État cherchant à voler le bitcoin et d’autres monnaies virtuelles afin d’échapper aux sanctions et d’obtenir des devises fortes pour financer le régime. Depuis mai 2017, nous avons observé que les acteurs nord-coréens visaient au moins trois échanges de crypto-monnaies en Corée du Sud avec l’intention suspecte de voler des fonds. Le spearphising que nous avons observé dans ces cas, ciblent souvent les comptes de courrier électronique personnels des employés dans les échanges de devises numériques, en utilisant fréquemment des leurres à thème fiscal et en déployant des logiciels malveillants (PEACHPIT et des variantes similaires) liés à des acteurs nord-coréens soupçonnés d’être responsables des intrusions dans les banques mondiales 2016.
Ajoutez à cela les liens entre les opérateurs nord-coréens et le compromis d’un site de nouveaux bitcoin en 2016, ainsi qu’un exemple d’utilisation d’un mineur crypto-courant clandestin. On commence à voir l’intérêt nord-coréen pour les crypto-monnaies, une catégorie dans laquelle le bitcoin a augmenté de plus de 400% depuis le début de cette année.
L’activité nord-coréenne 2017 contre les cibles des crypto-monnaies sud-coréennes
22 avril – Quatre portefeuilles sur Yapizon, un échange de crypto-monnaie sud-coréen, sont compromis. (Il est intéressant de noter que certaines des tactiques, techniques et procédures employées au cours de ce compromis étaient différentes de celles que nous avons observées dans les tentatives d’intrusion suivantes et, jusqu’à présent, il n’y a pas d’indications claires de la participation nord-coréenne).
26 avril – Les États-Unis annoncent une stratégie de sanctions économiques accrues contre la Corée du Nord. Les sanctions de la communauté internationale pourraient conduire l’intérêt nord-coréen pour la crypto-monnaie, comme cela a été mentionné précédemment.
Début mai – le démarrage du spearphishing contre l’échange sud-coréen n ° 1 commence.
Fin mai – échange sud-coréen n ° 2 compromis par spearphish.
Début juin – Une activité nord-coréenne plus suspectée visant des victimes inconnues, considérées comme des fournisseurs de services de crypto-monnaie en Corée du Sud.
Début juillet – Exchange sud-coréen n ° 3 ciblé via le phishing de lance à un compte personnel.
Les avantages à cibler les crypto-monnaies
Alors que les échanges de bitcoin et de crypto-monnaies peuvent sembler des cibles étranges pour les acteurs de l’État-nation intéressés à financer les coffres de l’État, certaines des autres actions illicites de la Corée du Nord continuent de démontrer l’intérêt de mener des crimes financiers au nom du régime. L’Office 39 de la Corée du Nord participe à des activités telles que la contrebande d’or, la contrefaçon de monnaie étrangère et même l’exploitation de restaurants. En plus de l’accent mis sur le système bancaire mondial et les échanges de crypto-monnaie, un rapport récent d’un institut sud-coréen a souligné la participation des acteurs nord-coréens dans le ciblage des guichets automatiques avec des logiciels malveillants.
Si les acteurs compromettent un échange (par opposition à un compte ou un portefeuille individuel), ils peuvent potentiellement déplacer les crypto-monnaies sur des portefeuilles en ligne, les échanger contre d’autres crypto-monnaies plus anonymes ou les envoyer directement à d’autres portefeuilles sur différents échanges pour les retirer dans des devises tels que le won sud-coréen, le dollar américain ou le renminbi chinois. Sachant que l’environnement réglementaire autour des crypto-monnaies émerge encore, certains échanges dans différentes juridictions peuvent avoir des contrôles de lutte contre le blanchiment d’argent, ce qui facilite le processus et rend les échanges plus attrayants pour ceux qui cherchent une monnaie forte.
Comme le bitcoin et les autres crypto-monnaies ont augmenté en valeur au cours de la dernière année, les États-nations commencent à prendre connaissance du phénomène. Récemment, un conseiller du président Poutine en Russie a annoncé son intention de recueillir des fonds pour augmenter l’implication de la Russie dans l’extraction du bitcoin. Les sénateurs du parlement australien ont proposé de développer leur propre crypto-monnaies nationale.
Par conséquent, il ne faut pas être surpris si les crypto-monnaies, en tant que classe d’actifs émergents, deviennent une cible d’intérêt pour un régime qui fonctionne de plusieurs façons, comme une entreprise criminelle. Alors que la Corée du Nord est actuellement un peu différente de la volonté de s’engager dans la criminalité financière et de la possession de capacités d’espionnage cybernétique, l’unicité de cette combinaison ne durera probablement pas à long terme, car les cyber-pouvoirs augmentent et pourraient y voir un potentiel similaire. Les cybercriminels pourraient ne plus être les seuls acteurs néfastes dans cet environnement. (par FireEye)
