La police nationale japonaise a désigné le groupe de pirates nord-coréen Lazarus comme l'organisation à l'origine de plusieurs années de cyberattaques liées aux cryptomonnaies.
Dans un avis public publié le 14 octobre, l'Agence nationale de police (NPA) et l'Agence des services financiers (FSA) du Japon ont adressé un avertissement aux entreprises de cryptomonnaies du pays, leur demandant de rester vigilantes face aux attaques de « phishing » du groupe de pirates visant à voler des cryptomonnaies.
La déclaration consultative est connue sous le nom d'« attribution publique » et, selon les rapports locaux, c'est la cinquième fois dans l'histoire que le gouvernement émet un tel avertissement.
La déclaration avertit que le groupe de pirates utilise l'ingénierie sociale pour orchestrer des attaques de phishing, en se faisant passer pour des cadres d'une entreprise cible afin d'essayer d'inciter les employés à cliquer sur des liens ou des pièces jointes malveillants :
« Ce groupe de pirates envoie des courriels de phishing aux employés en se faisant passer pour des cadres de l'entreprise cible [...] par le biais de sites de réseaux sociaux avec de faux comptes, en prétendant effectuer des transactions commerciales [...] Le groupe de pirates [ensuite] utilise le logiciel malveillant comme point d'appui pour accéder au réseau de la victime. »
Selon la déclaration, le phishing a été un mode d'attaque commun utilisé par les pirates nord-coréens, la NPA et la FSA exhortant les entreprises ciblées à conserver leurs « clés privées dans un environnement hors ligne » et à « ne pas ouvrir inconsidérément les pièces jointes des e-mails ou les liens hypertextes ».
La déclaration ajoute que les particuliers et les entreprises ne devraient « pas télécharger de fichiers provenant de sources autres que celles dont l'authenticité peut être vérifiée, en particulier pour les applications liées aux actifs crypto ».
La NPA a également suggéré aux détenteurs d'actifs numériques « d'installer des logiciels de sécurité », de renforcer les mécanismes d'authentification de l'identité en « mettant en œuvre une authentification multifactorielle » et de ne pas utiliser le même mot de passe pour plusieurs appareils ou services.
La NPA a confirmé que plusieurs de ces attaques ont été menées avec succès contre des entreprises de cryptomonnaies basées au Japon, mais n'a pas divulgué de détails spécifiques.
À lire également : Personne ne les retient, la menace de cyberattaque nord-coréenne augmente
Lazarus Group serait affilié au Bureau général de reconnaissance de la Corée du Nord, un groupe de renseignement extérieur géré par le gouvernement.
Katsuyuki Okamoto, de la société informatique multinationale Trend Micro, a déclaré au Yomiuri Shimbun que « Lazarus a d'abord ciblé des banques dans divers pays, mais récemment, il a visé des actifs crypto qui sont gérés de manière plus souple ».
Ils ont été accusés d'être derrière le piratage de 650 millions de dollars de Ronin Bridge en mars, et ont été identifiés comme suspects dans l'attaque de 100 millions de dollars de la blockchain de couche 1 Harmony.