Une faille de cybersécurité menée par un groupe de piratage soutenu par le gouvernement nord-coréen a ciblé une société américaine de gestion informatique, l'exploitant comme un tremplin pour attaquer les entreprises de crypto-monnaie, selon la société informatique et des experts en cybersécurité.
Le groupe de piratage a infiltré JumpCloud, basé à Louisville, Colorado, fin juin, et à partir de là, ils se sont concentrés sur moins de cinq des clients de l'entreprise, comme l'a révélé un récent article de blog de JumpCloud.
Bien que l'identité des clients concernés n'ait pas été révélée par JumpCloud, les sociétés de cybersécurité CrowdStrike Holdings et Mandiant, qui assistent respectivement JumpCloud et l'un de ses clients, ont confirmé que les pirates avaient l'habitude de cibler le vol de crypto-monnaie.
Il a été signalé que les clients ciblés étaient en effet des sociétés de crypto-monnaie. Cet incident met en évidence une tendance inquiétante selon laquelle les cyber-espions nord-coréens vont au-delà de l'attaque individuelle des entreprises de monnaie numérique et optent plutôt pour une stratégie d'« attaque de la chaîne d'approvisionnement ». Cela leur permet d'accéder à plusieurs victimes en aval en ciblant les entreprises connectées à la cible principale.
Tom Hegel, un expert travaillant pour la société américaine SentinelOne, a corroboré de manière indépendante l'attribution faite par CrowdStrike et Mandiant, et a souligné que la Corée du Nord intensifie ses efforts de cyberespionnage.
La mission de Pyongyang auprès des Nations Unies n'a pas répondu aux demandes de commentaires, et malgré des preuves accablantes, y compris des rapports de l'ONU, la Corée du Nord a nié à plusieurs reprises son implication dans des vols de monnaie numérique.
CrowdStrike a identifié le groupe de piratage comme "Labyrinth Chollima", l'un des nombreux groupes censés agir au nom de la Corée du Nord, tandis que Mandiant a révélé que les pirates étaient affiliés au Bureau général de reconnaissance (RGB) de la Corée du Nord, la principale agence de renseignement étrangère du pays.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le FBI ont refusé de commenter la question.
L'attaque contre JumpCloud, une société connue pour fournir des produits d'aide à la gestion des appareils et des serveurs pour les administrateurs réseau, a été révélée plus tôt ce mois-ci lorsque la société a informé ses clients de la nécessité de modifier leurs informations d'identification en raison d'un incident de sécurité en cours.
Des rumeurs sur l'implication potentielle de la Corée du Nord dans l'attaque ont circulé avant la confirmation. Labyrinth Chollima est réputé pour être l'un des groupes de piratage les plus prolifiques de Corée du Nord, responsable de cyber-intrusions audacieuses et perturbatrices.
Leurs vols de crypto-monnaie ont représenté des sommes stupéfiantes, avec une valeur estimée à 1,7 milliard de dollars américains (2,5 milliards de dollars) en espèces numériques volées à travers divers hacks, selon la société d'analyse Blockchain Chainalysis.
Le vice-président senior de CrowdStrike pour le renseignement, Adam Meyers, a mis en garde contre la sous-estimation des capacités de piratage de la Corée du Nord, prédisant que davantage d'attaques de la chaîne d'approvisionnement pourraient se produire tout au long de l'année.
