Posté le juillet 11, 2022 à 7:07
DES HACKERS ONT UTILISÉ UNE OFFRE D’EMPLOI FRAUDULEUSE SUR LINKEDIN POUR RÉALISER LE PIRATAGE DE 625 MILLIONS DE DOLLARS D’AXIE INFINITY RONIN
En mars de cette année, Axie Infinity a été victime du plus grand vol de crypto-monnaies contre un réseau financier décentralisé. Un rapport récent a révélé que les acteurs de la menace ont utilisé une fausse offre d’emploi LinkedIn pour voler 625 millions de dollars sur la plateforme.
Un mois plus tard, les États-Unis ont émis un avis, avertissant que les hackers sophistiqués de Corée du Nord se font passer pour des indépendants en informatique pour tenter de trouver un emploi.
Il a maintenant été révélé que les acteurs de la menace, dirigés par le groupe Lazarus soutenu par le gouvernement Nord-Coréen, ont utilisé des tactiques d’ingénierie sociale pour obtenir un accès. Ils ont infiltré le réseau de Sky Mavis en envoyant un fichier PDF contenant un logiciel espion à l’un des employés de l’entreprise.
L’implication de Lazarus dans une attaque aussi médiatisée ne sera pas une surprise pour beaucoup compte tenu de l’histoire du groupe et de sa sophistication.
Plus tôt en janvier de cette année, des chercheurs de diverses entreprises de sécurité cryptographique ont signalé que des hackers Nord-Coréens ont volé 1,3 milliard de dollars à travers différents plateformes d’échange de cryptomonnaies dans le monde. Les chercheurs en sécurité ont fait savoir que le gang Lazarus était le principal suspect de l’attaque.
Un employé d’Axie Infinity a mordu à l’hameçon
Le rapport sur le piratage d’Axie montre qu’un ex-ingénieur de l’entreprise a été utilisé comme appât par les acteurs de la menace. L’employé pensait que l’offre d’emploi était bien rémunérée et provenait d’une autre grande entreprise. Bien qu’il n’ait pas fait grand-chose pour aider les hackers, la simple ouverture du fichier PDF infecté par le logiciel malveillant a suffi. Mais il est allé jusqu’à fournir d’autres informations personnelles qui ont aidé les acteurs de la menace. De plus, l’entreprise présentée comme l’employeur potentiel n’existait même pas.
Au cours du processus de recrutement, l’ex-employé a divulgué des détails personnels vitaux que les acteurs de la menace ont utilisés pour voler des fonds à l’entreprise.
Selon Sky Mavis, ses employés signalent constamment des menaces sur divers canaux de médias sociaux par des « attaques avancées de spear-phishing. » Mais il est regrettable qu’un employé, qui ne travaille plus pour l’entreprise, soit devenu l’appât des attaquants.
Les attaquants ont piégés cinq validateurs
Les hackers de Lazarus sont connus pour s’attaquer à des cibles de grande valeur dont les revenus se chiffrent en millions chaque mois. Il n’est pas surprenant que le groupe se soit attaqué à Axie Infinity. Ce jeu inspiré de Pokemon génère près de 15 millions de dollars de revenus par jour. Le jeu, développé par Sky Mavis, enregistre plus d’un million de joueurs par jour.
Au moment de l’attaque, Axie Infinity comptait neuf validateurs de sa preuve d’autorité, une sidechain Ronin basée sur Ethereum. L’acteur de la menace a tiré parti de cet accès pour infiltrer l’infrastructure de Sky Mavis IT et a accédé aux nœuds de validateurs.
L’attaquant a capturé cinq des neuf validateurs pour implanter un logiciel malveillant dans les réseaux de l’entreprise. Les attaquants ont pu contrôler quatre des validateurs grâce au PDF contenant un logiciel espion, ce qui leur a permis d’accéder à la DAO Axie (Organisation autonome décentralisée) gérée par la communauté. De là, ils ont mis la main sur le cinquième validateur.
Les hackers ont volé de l’ETH et de l’USDC sur la plateforme
Après avoir infiltré la plateforme, les hackers ont volé 173 600 Ether (environ 597 millions de dollars à l’époque) et 25 millions de dollars de stablecoin USDC, volant collectivement des crypto-monnaies d’une valeur d’environ 625 millions de dollars.
Pour améliorer la sécurité, la sidechain Ronin a augmenté le nombre de validateurs à 11. D’autre part, Sky Mavis a levé 150 millions de dollars lors d’un tour de table pour rembourser les joueurs qui ont perdu des fonds à cause du piratage.
Le gouvernement Américain a déclaré que le tristement célèbre groupe de hackers Lazarus était responsable de cette attaque. Cette affirmation fait suite à une série d’enquêtes et à plusieurs autres liens avec les techniques d’attaque du groupe dans le passé. D’autres chercheurs ont également noté que le modèle d’attaque par hameçonnage est synonyme d’acteurs de menaces disposant de beaucoup de ressources et d’outils.
Le gouvernement Américain a lié l’attaque au groupe Lazarus
Ce ne sera pas la première fois que le groupe Lazarus cible l’industrie de la blockchain et de la cryptomonnaie. Mais l’attaque par ingénierie des médias sociaux n’est pas le modèle pour lequel le groupe est connu. Il est rare de voir une attaque menée par un groupe utilisant une méthode de phishing particulière.
La seule autre fois où une telle technique d’attaque a été liée au groupe remonte à juin 2020. Ensuite, des chercheurs en sécurité de l’entreprise de sécurité Internet ESET ont averti que le groupe Lazarus utilisait des arnaques sophistiquées de recruteurs pour cibler les utilisateurs de LinkedIn à la recherche d’un emploi. L’avertissement notait que les hackers ciblent spécifiquement les travailleurs ou ceux qui cherchent à travailler dans des entreprises militaires.
