Depuis 2018, un groupe de pirates présenté sous le nom de CryptoCore mène des attaques ciblées contre des exchanges. En l’espace de deux ans, il aurait ainsi dérobé pour 200 millions de dollars en crypto-monnaies.
La sécurité est indéniablement un critère à prendre en compte lors du choix d’un exchange de crypto. Ces services spécialisés dans les actifs numériques sont en effet les cibles de prédilection des pirates informatiques.
Le groupe CryptoCore constitue une de ces menaces pour les exchanges. Ces pirates ont été identifiés par la société de sécurité ClearSky. Selon cette dernière, CryptoCore cible des crypto-exchanges, principalement aux Etats-Unis et au Japon, depuis 2018.
Des pirates peu techniques, mais efficaces
Les pirates attaquent donc directement les plateformes d’échange ou des partenaires de ces dernières au travers d’attaques dite de « supply-chain ». La firme de sécurité estime que le groupe a accumulé environ 70 millions de dollars grâce à ces intrusions dans les systèmes des exchanges.
Au total, depuis deux ans, c’est plus de 200 millions de dollars que CryptoCore aurait récoltés lors de cyberattaques. Techniquement, ce « groupe n’est pas extrêmement avancé » pourtant, observe ClearSky. Il se montre en revanche « rapide, persistant et efficace. »
L’activité de ces pirates est néanmoins en recul depuis le premier semestre 2020. D’après l’enquête des experts en sécurité, cette baisse pourrait être la conséquence de la pandémie de COVID-19. Sous-entendu, la crise passée, les cybercriminels pourraient reprendre activement du service.
Toujours selon les éléments recueillis par ClearSky, les membres de CryptoCore seraient vraisemblablement originaires d’Europe de l’Est. L’Ukraine, la Russie ou la Roumanie sont des hypothèses jugées crédibles par les chercheurs.
Quant à l’objectif principal des pirates, il est simple : accéder aux wallets de crypto-monnaies gérés par les exchanges, qu’il s’agisse de wallets généraux d’entreprises ou de wallets détenus par des employés de la bourse.
Du phishing ciblé pour tromper les dirigeants
La première phase de leur mode opératoire consiste ainsi en une phase de reconnaissance approfondie sur l’entreprise, ses cadres, ses dirigeants et son personnel informatique. Cette étape leur permet d’envoyer des emails ciblés de phishing ou spear-phishing.
« Les comptes de courrier électronique personnels des cadres sont les premiers à être visés » notent les experts. Infiltrer les comptes personnels des salariés est cependant facultatif, ajoutent-ils. Leur priorité, c’est l’envoi de messages de phishing à des adresses professionnelles de l’exchange, généralement un dirigeant.
Le harponnage s’effectue généralement en se faisant passer pour un employé de haut rang de l’organisation cible ou d’une autre organisation (par exemple un conseil consultatif) ayant des liens avec l’employé visé,” précise le rapport.
Cette attaque réussie, les pirates s’efforcent alors d’accéder au gestionnaire de mots de passe de la victime. C’est là que sont stockées les clés des porte-monnaie électroniques et d’autres biens de valeur. Il s’agira ensuite pour les pirates de désactiver l’authentification multi-facteur des wallets pour dérober l’argent.
En 2019, 11 cyberattaques réussies contre des crypto-bourses ont été recensées. Cela représente un doublement du nombre d’attaques par rapport à 2018. Le préjudice financier de ces intrusions a cependant très fortement baissé sur un an. Les exchanges investissent en effet plus largement dans la sécurisation de leurs infrastructures.
Questions & Réponses (0)