{"id":10866,"date":"2018-08-28T14:03:23","date_gmt":"2018-08-28T14:03:23","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10866"},"modified":"2019-11-22T08:56:59","modified_gmt":"2019-11-22T08:56:59","slug":"lazarus-crypto-exchange-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/lazarus-crypto-exchange-attack\/10866\/","title":{"rendered":"L’APT Lazarus pirate une plateforme d’\u00e9change de crypto-monnaies"},"content":{"rendered":"

Les m\u00e9thodes d\u2019attaque utilis\u00e9es par les grands cybercriminels sont souvent sophistiqu\u00e9es, et m\u00eame les experts en cybers\u00e9curit\u00e9 ont beaucoup de difficult\u00e9s \u00e0 les d\u00e9tecter. Il y a longtemps que nos experts ont d\u00e9couvert<\/a> une nouvelle campagne lanc\u00e9e par un groupe nord-cor\u00e9en appel\u00e9 Lazarus\u00a0<\/a>; ce groupe est particuli\u00e8rement connu pour avoir attaqu\u00e9 Sony Pictures<\/a>, et plusieurs \u00e9tablissements financiers. Ces cybercriminels ont par exemple vol\u00e9 81 millions de dollars \u00e0 la banque centrale du Bangladesh<\/a>.<\/p>\n

Dans ce cas, les intrus ont d\u00e9cid\u00e9 de se remplir les poches avec un peu de crypto-monnaie<\/a>. Ils d\u00e9posent une partie du malware sur les r\u00e9seaux professionnels de plusieurs \u00e9changes de crypto-monnaies pour atteindre le portefeuille de leurs victimes. Les criminels utilisent le facteur humain, et \u00e7a marche.<\/p>\n

Une application de commerce avec une mise \u00e0 jour malveillante<\/strong><\/p>\n

L\u2019intrusion dans le r\u00e9seau commence par un e-mail. Au moins un des employ\u00e9s de cet \u00e9change de crypto-monnaies a re\u00e7u un e-mail lui proposant d\u2019installer une application de commerce, Celas Trade Pro, d\u00e9velopp\u00e9e par Celas Limited. Si l\u2019on consid\u00e8re le profil de l\u2019entreprise, un tel programme pourrait \u00e9ventuellement lui \u00eatre utile.<\/p>\n

Le message comprenait un lien qui dirigeait la victime vers le site officiel du d\u00e9veloppeur, qui semblait \u00eatre l\u00e9gitime, d\u2019autant plus qu\u2019il avait un certificat SSL<\/a> valide d\u00e9livr\u00e9 par Comodo CA, un important centre de certification.<\/p>\n

\"\"<\/p>\n

Deux versions de Celas Trade Pro pouvaient \u00eatre t\u00e9l\u00e9charg\u00e9es\u00a0: une pour Windows, une autre pour Mac, et bient\u00f4t une troisi\u00e8me pour Linux.<\/p>\n

\"\"<\/p>\n

L\u2019application de commerce avait aussi un certificat num\u00e9rique<\/a> valide, soit une autre caract\u00e9ristique qui permet de rendre le produit l\u00e9gitime, et son code ne contenait pas de composants dangereux.<\/p>\n

Celas Trade Pro lan\u00e7ait une mise \u00e0 jour d\u00e8s que le programme \u00e9tait bien install\u00e9 sur l\u2019ordinateur de l\u2019employ\u00e9. Pour ce faire, il contactait le propre serveur du vendeur, ce qui est parfaitement normal. Cependant, au lieu de faire la mise \u00e0 jour, l\u2019appareil t\u00e9l\u00e9chargeait un cheval de Troie qui ouvrait une porte d\u00e9rob\u00e9e<\/a>.<\/p>\n

\"\"<\/p>\n

Fallchill : un malware tr\u00e8s dangereux<\/strong><\/p>\n

Une porte d\u00e9rob\u00e9e est une \u00ab\u00a0entr\u00e9e de service\u00a0\u00bb virtuelle que les cybercriminels peuvent utiliser pour p\u00e9n\u00e9trer dans le syst\u00e8me. La plupart des attaques pr\u00e9c\u00e9dentes qui ciblaient les \u00e9changes utilisaient Fallchill. Accompagn\u00e9 d\u2019autres signes, Fallchill \u00e9tait l\u2019\u00e9l\u00e9ment principal qui montrait du doigt les pirates informatiques. Le groupe Lazarus a utilis\u00e9 cette porte d\u00e9rob\u00e9e plusieurs fois dans le pass\u00e9. Cette technique leur permet de contr\u00f4ler compl\u00e8tement l\u2019appareil infect\u00e9. Voici quelques-unes de ces caract\u00e9ristiques\u00a0:<\/p>\n