L’APT Lazarus pirate une plateforme d’échange de crypto-monnaies

Il est vraiment difficile de détecter la dernière campagne lancée par Lazarus, un groupe malheureusement célèbre. Bonus : il existe un lien entre les crypto-monnaies, les cybercriminels et les pâtes ramen.

Les méthodes d’attaque utilisées par les grands cybercriminels sont souvent sophistiquées, et même les experts en cybersécurité ont beaucoup de difficultés à les détecter. Il y a longtemps que nos experts ont découvert une nouvelle campagne lancée par un groupe nord-coréen appelé Lazarus ; ce groupe est particulièrement connu pour avoir attaqué Sony Pictures, et plusieurs établissements financiers. Ces cybercriminels ont par exemple volé 81 millions de dollars à la banque centrale du Bangladesh.

Dans ce cas, les intrus ont décidé de se remplir les poches avec un peu de crypto-monnaie. Ils déposent une partie du malware sur les réseaux professionnels de plusieurs échanges de crypto-monnaies pour atteindre le portefeuille de leurs victimes. Les criminels utilisent le facteur humain, et ça marche.

Une application de commerce avec une mise à jour malveillante

L’intrusion dans le réseau commence par un e-mail. Au moins un des employés de cet échange de crypto-monnaies a reçu un e-mail lui proposant d’installer une application de commerce, Celas Trade Pro, développée par Celas Limited. Si l’on considère le profil de l’entreprise, un tel programme pourrait éventuellement lui être utile.

Le message comprenait un lien qui dirigeait la victime vers le site officiel du développeur, qui semblait être légitime, d’autant plus qu’il avait un certificat SSL valide délivré par Comodo CA, un important centre de certification.

Deux versions de Celas Trade Pro pouvaient être téléchargées : une pour Windows, une autre pour Mac, et bientôt une troisième pour Linux.

L’application de commerce avait aussi un certificat numérique valide, soit une autre caractéristique qui permet de rendre le produit légitime, et son code ne contenait pas de composants dangereux.

Celas Trade Pro lançait une mise à jour dès que le programme était bien installé sur l’ordinateur de l’employé. Pour ce faire, il contactait le propre serveur du vendeur, ce qui est parfaitement normal. Cependant, au lieu de faire la mise à jour, l’appareil téléchargeait un cheval de Troie qui ouvrait une porte dérobée.

Fallchill : un malware très dangereux

Une porte dérobée est une « entrée de service » virtuelle que les cybercriminels peuvent utiliser pour pénétrer dans le système. La plupart des attaques précédentes qui ciblaient les échanges utilisaient Fallchill. Accompagné d’autres signes, Fallchill était l’élément principal qui montrait du doigt les pirates informatiques. Le groupe Lazarus a utilisé cette porte dérobée plusieurs fois dans le passé. Cette technique leur permet de contrôler complètement l’appareil infecté. Voici quelques-unes de ces caractéristiques :

  • Recherche, lecture et chargement de fichiers sur le serveur de commande, qui est le même que celui utilisé par le logiciel de commerce pour télécharger la mise à jour ;
  • Enregistrement des données d’un fichier en particulier, comme les fichiers .exe ou les ordres de paiement ;
  • Suppression de fichiers ;
  • Téléchargement et exécution de fichiers supplémentaires.

Analysons de plus près le programme infecté et ses marqueurs

Comme nous l’avons déjà expliqué, le logiciel de commerce et son vendeur maintiennent une apparence convenable tout au long de l’attaque, ou du moins jusqu’à ce que la porte dérobée soit installée. Cependant, si nous réalisons un examen plus approfondi, nous remarquons des détails intrigants.

Pour commencer, le programme qui chargeait la mise à jour envoyait les informations de l’appareil au serveur dans un fichier qui se faisait passer pour une image GIF, et recevait les ordres de la même façon. C’est très atypique d’avoir un logiciel d’une telle envergure qui échange des images pendant des mises à jour.

Quant au site Internet, si l’on examine la situation de plus près, on remarque que le certificat du domaine était en réalité bas. Cela n’apporte rien, mais confirme que le domaine appartenait à une entité appelée Celas Limited. Il ne contenait aucune information sur l’entreprise ou son propriétaire, alors que les certificats les plus élevés impliquent de vérifier ces données. Les analystes ont utilisé Google Maps pour vérifier l’adresse utilisée pour l’enregistrement du domaine, mais ont juste découvert qu’elle correspondait à un bâtiment d’un étage où se trouve un magasin qui vend des ramens.

Il est peu probable que les propriétaires de ce petit restaurant aient utilisé leur temps libre pour se dédier à la programmation. La conclusion la plus évidente était qu’il s’agissait d’une fausse adresse. Les analystes ont néanmoins vérifié l’autre adresse mentionnée pour le certificat numérique de Celas Trading Pro, et ont découvert qu’il s’agissait d’un terrain vague.

De plus, il semblerait que l’entreprise ait payé son domaine en bitcoins. En général, les gens préfèrent réaliser des transactions en crypto-monnaies quand ils veulent conserver l’anonymat.

Nous ne pouvons toujours pas savoir avec certitude si cette entreprise a été montée de toute pièce, ou s’il s’agissait d’une des victimes des cybercriminels. Les pirates informatiques nord-coréens ont plusieurs fois compromis des organisations légitimes dans le passé afin d’attaquer leurs associés ou leurs clients.

Vous pouvez en savoir plus sur la campagne ATP de Lazarus en lisant le rapport complet rédigé par nos experts, et qui est disponible sur Securelist.

Ce qu’il faut retenir de l’affaire Lazarus

Comme le suggère cet exemple, il peut être très difficile d’identifier l’origine d’une menace lorsque de grandes sommes d’argent sont en jeu. Le marché des crypto-monnaies a beaucoup de succès ces derniers temps, et il attire des escrocs de toutes sortes : développeurs de n’importe quel genre de mineurs, mais aussi d’importants groupes criminels qui travaillent dans le monde entier.

L’objectif de cette campagne est particulièrement intéressant puisqu’il est très vaste : l’attaque visait les utilisateurs Windows, mais aussi les ordinateurs macOS. Voici encore une autre alerte qui nous rappelle que macOS n’est pas à l’abri. Les utilisateurs Apple doivent aussi assurer leur propre protection.

Conseils