CoinsPaid, une société estonienne de paiement par crypto-monnaies, s’est récemment trouvée au centre d’une attaque informatique sans précédent. La société a annoncé qu’un groupe de pirates nord-coréens a réussi à infiltrer son système et à dérober 37 millions de dollars, en exploitant un faux entretien d’embauche.
Ce vol a été soigneusement planifié et mis en œuvre, révélant une nouvelle méthode de ciblage non seulement des entreprises, mais aussi de leurs employés.
Première tentative : L’infiltration de l’infrastructure de CoinsPaid
Les tentatives d’infiltration de l’infrastructure de CoinsPaid, cette société de paiement via crypto-monnaies, par un groupe de pirates informatiques, soupçonnés de faire partie de l’organisation connue sous le nom de Lazarus, ont débuté en mars 2023.
Après avoir échoué à maintes reprises à percer les défenses robustes de l’entreprise, une stratégie alternative s’est révélée nécessaire. Les pirates ont alors abandonné l’approche directe, optant plutôt pour des méthodes d’ingénierie sociale plus raffinées et subtiles.
Au lieu de cibler l’entreprise elle-même, ils se sont tournés vers les individus au sein de l’organisation, manifestant ainsi une capacité d’adaptation et une inventivité qui soulignent la complexité croissante des défis en matière de cybersécurité. Ce changement de tactique illustre comment les menaces en ligne évoluent constamment, nécessitant une vigilance et une préparation sans faille.
Le stratagème : Un faux entretien d’embauche à salaire élevé
La nouvelle tactique adoptée par les pirates était astucieuse et audacieuse. Ils ont publié de fausses offres d’emploi à salaire élevé, incitant un employé de CoinsPaid à postuler. Lors du faux entretien, on a demandé à l’employé de télécharger un logiciel, lui faisant croire qu’il s’agissait d’une tâche technique.
We Know Exactly How Attackers Stole and Laundered $37M USD
CoinsPaid invited a partnership with @MatchSystems, in cooperation with law enforcement agencies and regulators, accompanies the process of returning stolen #crypto assets.
Read more: https://t.co/jLF3ICo603 pic.twitter.com/0gDy9CJcS7
— CoinsPaid (@coinspaid) August 7, 2023
En réalité, il s’agissait d’un code malveillant qui a permis aux pirates d’accéder à l’infrastructure de CoinsPaid. Le 22 juillet, ils ont exploité une vulnérabilité dans le cluster de l’entreprise, ouvert une porte dérobée et ont ainsi volé plus de 37 millions de dollars.
Réponse de CoinsPaid et suivi des fonds volés
Après avoir découvert le vol, CoinsPaid a immédiatement réagi en publiant un rapport le 26 juillet, exprimant sa suspicion envers le groupe Lazarus. La société a également collaboré avec Match Systems, une entreprise spécialisée dans la sécurité blockchain, pour suivre les fonds volés.
La majorité des fonds ont été transférés à SwftSwap, et plusieurs aspects des transactions des pirates informatiques correspondaient aux méthodes du groupe Lazarus, notamment lors du piratage précédent d’Atomic Wallet. CoinsPaid continue de surveiller tout mouvement de fonds depuis le 7 août.
Cette attaque contre CoinsPaid sert de rappel poignant que la sécurité informatique ne concerne pas seulement la protection des systèmes et des réseaux, mais aussi la sensibilisation et la protection des individus au sein de l’organisation.
L’ingéniosité avec laquelle ce groupe de pirates a opéré met en évidence la nécessité d’une vigilance accrue et d’une compréhension profonde des techniques d’ingénierie sociale que peuvent utiliser les attaquants.
La collaboration avec des spécialistes de la sécurité et une surveillance constante des mouvements de fonds peuvent aider à atténuer les dommages, mais la prévention reste le meilleur remède contre ces attaques sophistiquées et ciblées.
Source : CoinTelegraph
Sur le même sujet :
- Les États-Unis sanctionnent 3 nord-coréens en lien avec le groupe de hackers Lazarus
- Hack crypto : Le groupe nord-coréen Lazarus, champion du monde !
- Binance et Huobi gèlent 1,4 million $ de cryptos au groupe de hackers Lazarus