Posté le juillet 8, 2020 à 14:00
LES HACKERS NORD-CORÉENS S’INFILTRENT DANS LES BOUTIQUES EN LIGNE PAR LE BIAIS D’ATTAQUES DE TYPE WEB SKIMMING
Un rapport récent révèle que les hackers nord-coréens sont impliqués dans des attaques de type « web skimming ». Cela se produit après que le groupe de hackers ait déployé le logiciel de rançon, effectué des retraits d’argent dans les distributeurs automatiques et piraté des plateformes d’échanges de cryptomonnaie et des banques.
Le rapport a révélé que le groupe de hackers soutenu par la Corée du Nord s’infiltre dans les magasins en ligne et y insère un code malveillant qui vole les coordonnées des cartes de paiement des acheteurs lorsqu’ils se rendent sur la page de paiement pour payer avec leurs données de carte de crédit.
Les achats en ligne ont connu une augmentation massive car la récente pandémie COVID-19 a obligé les gouvernements à appliquer les règles de la vie privée. Les personnes qui, normalement, font des achats en ligne ont rejoint les acheteurs en ligne. En conséquence, les hackers profitent de toutes les occasions pour pirater et voler les données de carte de crédit des acheteurs.
Les hackers coréens, auparavant connus pour leur cyber-espionnage, ont maintenant étendu leur approche de la cybercriminalité afin de collecter des fonds pour le gouvernement coréen.
Les hackers ciblent les boutiques en ligne depuis l’année dernière
Dans un rapport publié aujourd’hui, la société néerlandaise de cybersécurité SanSec a déclaré que les hackers attaquent les boutiques en ligne depuis le mois de mai de l’année dernière.
Depuis le début de l’attaque, la chaîne de boutiques d’accessoires Claire’s a été la victime la plus en vue lors de son infiltration au début du mois d’avril et du mois dernier.
Les attaques sur ces acheteurs sont appelées « Magecart attack », « e-skimming » ou « web skimming », le prénom représentant le premier groupe de hackers à avoir lancé ce type d’attaque.
L’attaque par e-skimming est simple
Bien que les attaques de type web skimming requièrent un certain niveau de sophistication et l’utilisation d’outils techniques de la part des hackers, elles sont de nature simple. L’idée principale des hackers est qu’ils passent par le serveur dorsal d’un magasin en ligne, des widgets tiers ou des ressources associées. Après avoir obtenu l’accès, ils installent et exécutent un code malveillant sur le serveur frontal de la boutique.
Le code se charge uniquement sur la page de paiement et enregistre discrètement les données de paiement lorsqu’elles sont saisies dans les formulaires de paiement. Ensuite, les données sont envoyées au serveur distant des hackers qui les récupèrent et les vendent sur le darknet.
Une attaque par e-skimming nécessite généralement que le hacker exploite une vaste infrastructure qui fera fonctionner des points de collecte ou hébergera le code malveillant.
Selon le rapport de SanSec, l’adresse IP des hackers et les domaines utilisés lors de récents e-skimming ont été utilisés par une infrastructure de piratage précédemment utilisée par le groupe de hackers nord-coréen.
Les hackers ont des liens avec le groupe Lazarus
Selon Willem de Groot, fondateur du SanSec, il existe des preuves solides que les incidents de piratage ont été orchestrés par le tristement célèbre groupe Lazarus (également connu sous le nom de Hidden Cobra).
Selon Groot, il n’est pas clair comment les hackers ont pu accéder aux données des cartes pour les voler.
« On ne sait pas encore comment HIDDEN COBRA a obtenu l’accès, mais les attaquants utilisent souvent des attaques par harponnage pour obtenir les mots de passe du personnel des boutiques », a-t-il souligné.
Augmentation de la cybercriminalité provenant des hackers nord-coréens
Selon les conclusions de SanSec, les hackers nord-coréens s’adonnent à la cybercriminalité, contrairement à d’autres groupes de hackers parrainés par l’État qui ne se livrent qu’au cyber-espionnage. La société de sécurité a indiqué qu’en plus de se livrer au cyber espionnage, les hackers nord-coréens tentent également de voler des informations qu’ils peuvent vendre afin de récolter des fonds pour l’économie boiteuse du pays.
Les sévères sanctions imposées par les organismes internationaux au pays les affectent financièrement. En conséquence, le groupe de hackers se livre également à la cybercriminalité pour collecter des fonds pour son gouvernement.
Des hackers nord-coréens impliqués dans une série de campagnes de piratage
Les hackers de Pyongyang ont été impliqués dans des cyber-attaques sur plusieurs banques dans le monde entier. Ils ont également été liés à des retraits et des braquages de distributeurs automatiques de billets, ainsi qu’à l’infiltration de plateformes d’échanges de cryptomonnaies.
En outre, ils ont été découverts en train de planifier des campagnes de phishing basées sur le thème COVID-19. Ils achètent également des logiciels malveillants de base sur le darknet afin de lancer des attaques contre différentes organisations.
De plus, ils ont été accusés de la création du tristement célèbre logiciel de rançon WannaCry en 2017, qui a touché de nombreuses entreprises du secteur informatique dans le monde entier.
Les experts et plusieurs autorités ont déclaré que le WannaCry était une tentative ratée de lancer une souche de logiciel de rançon qui serait utilisée pour voler de l’argent pour le régime de Pyongyang.
Le récent exercice de web skimming du groupe nord-coréen n’est une surprise pour personne, connaissant l’histoire du groupe qui s’est développé vers une cybercriminalité pouvant rapporter quelques gains financiers.
